App-Test

App-Test: Kindersicherung Screen Time for Kids

Ein Artikel von , veröffentlicht am 16.10.2018
Bild: CC0 Pixabay / geralt

Mit der App können Eltern das Smartphone ihres Kindes überwachen und die Nutzung einschränken. Allerdings landen dabei sehr viele Daten beim Anbieter, das Nutzerkonto ist schlecht gesichert und es gehen Informationen an Facebook.

Version

5.0.0

Betriebssysteme

Android

Links

Google Play (Android)
Weblink
HINWEIS: Manuell durchgeführte App-Analysen wie diese gelten grundsätzlich nur für die getestete App-Version und haben damit den Charakter einer Momentaufnahme. Aktuelle Testberichte für mehr als 30.000 Android-Apps finden Sie seit Oktober 2020 über unseren AppChecker.

Was ist Screen Time for Kids?

Mit der App Screen Time for Kids können Eltern das Smartphone ihres Kindes überwachen und die Nutzung beschränken. Dazu muss die App auf dem Gerät des Kindes installiert werden. Auf dem Gerät der Eltern wird die passende Eltern-App Screen Time Elternaufsicht eingerichtet.

Anbieter der App ist die Screen Time Labs Ltd mit Sitz in Bristol, Großbritannien. Es gibt Screen Time for Kids (in Google Play abgekürzt: ST Kids App) für Android und iOS.

Den vollen Funktionsumfang bietet nur die Premiumversion. Nach zwei Testwochen kostet sie 4,50 Euro pro Monat. Die Basisversion mit eingeschränktem Funktionsumfang steht kostenlos zur Verfügung.

In der Premiumversion können Eltern die Smartphone-Nutzung ihrer Kinder von ihrem eigenen Gerät aus überwachen. Sie können beobachten, welche App Ihr Kind zu welchem Zeitpunkt und wie lange nutzt, sowie festlegen, ob und wie lange die verschiedenen Apps oder das Gerät täglich laufen dürfen.

Hier geht's zu unserer großen Übersicht von Kindersicherungs-Apps.

Unser Test im Überblick

Sämtliche Informationen, die die App über die Gerätenutzung des Kindes bereitstellt, landen auf den Servern des Anbieters. Zum Beispiel, welche App wie lange benutzt wird und eventuell auch der Standort des Kindes.

Damit der Überwacher die App des Kindes aus der Ferne kontrollieren kann, werden auch sämtliche Einstellungen über die Server des Hauptdienstes geleitet. Zum Beispiel, welche Nutzungszeiten man festgelegt hat.

Diese Kommunikation erfolgt transportverschlüsselt, aber nicht Ende-zu-Ende-verschlüsselt. Daher hat der Anbieter vollen Zugriff auf diese Informationen - auch auf die Nachrichten, die Eltern und Kinder sich gegenseitig über die App schicken.

Selbst bei besten Absichten des Anbieters birgt dies stets die Gefahr, dass die Informationen durch Fehler oder Angriffe in die falschen Hände geraten. Dass diese Möglichkeit durchaus realistisch ist, zeigt die Vergangenheit: Alleine in den letzten zwei Jahren wurden Datenlecks bei sieben Anbietern von Überwachungs-Apps bekannt.

Die Zugangsdaten für das Nutzerkonto, in dem man die App verwalten kann, werden unverschlüsselt auf dem überwachten Gerät abgelegt. Mit etwas technischem Know-how kann man diese Zugangsdaten zur App-Verwaltung auslesen, wenn man das Gerät unversperrt in die Hände bekommt. Ein grober handwerklicher Schnitzer, der im Umgang mit sensiblen Daten von Kindern nicht passieren sollte.

Die App bindet einen Tracker von Facebook ein, der die Werbe-ID vom Gerät ausliest. Facebook erfährt somit, dass man Screen Time nutzt und verknüpft diese Information mit dem eigenen Facebook-Profil. Auch wer kein Facebook-Profil hat, wird von Facebook unter Umständen identifiziert, da viele Apps Facebook als Analysedienst einbinden.

Weitere eingebundene Tracker von Google und Kissmetrics erhalten keine eindeutigen Kennnummern. Die Datenschutzerklärung ist unvollständig.

Unser Fazit

Das ausgereifte Zeitmanagement der App funktioniert gut und kann helfen, vorher getroffene Absprachen durchzusetzen. Durch die Monitoring-Funktion stellt die App aber einen heftigen Eingriff in die Privatsphäre des Kindes dar.

Zudem besteht die Gefahr, dass sensible Daten von Kindern in falsche Hände geraten. Der Analysedienst von Facebook hat unserer Ansicht nach in einer App für Kinder absolut nichts verloren.

Wir können Screen Time for Kids daher nicht empfehlen.

Unser Test im Detail

Die technische Analyse führte der IT-Experte Mike Kuketz durch.

Welche Berechtigungen fordert die App?

Die App verlangt Berechtigungen, die für eine "Überwachungs-App" plausibel aber dennoch weitreichend sind. Auf dem Gerät des Kindes benötigt die App unter anderem:

  • Administratorenrechte (Geräteverwaltung): Schützt die App davor, deinstalliert zu werden, ermöglicht es, einen Sperrbildschirm zu setzen, zum Beispiel, um das Gerät zu sperren.
  • Geräte- und App-Verlauf (Zugriff auf Nutzungsdaten): Um festzustellen, ob und wie lange andere Apps laufen.
  • Standort: Diese Berechtigung ist optional und kann verweigert werden.

Auf dem Gerät des Überwachers fordert die passende Eltern-App beim Installieren unter anderem Zugriff auf das Adressbuch. Man kann die Berechtigung aber verweigern.

Wohin verbindet sich Screen Time for Kids?

Jegliche Kommunikation erfolgt TLS-verschlüsselt. Auf zusätzliche Sicherheit durch Cert-Pinning verzichtet der Anbieter.

Was sich hinter den Begriffen TLS-Verschlüsselung und Cert-Pinning verbirgt, erfahren Sie in diesem Hintergrundtext.

screentimelabs.appspot.com (Hauptdienst): Nach dem Start nimmt die App zunächst keinen Kontakt zum Server auf. Erst während der Personalisierung der App werden unter anderem folgende Informationen übermittelt:

  • Land, Bundesland und Stadt
  • eingestellte Sprache (de)
  • E-Mail-Adresse und Passwort
  • Name und Geburtsdatum des Kindes
  • Die Namen aller auf dem Gerät installierten Apps

Nach der Anpassung der Beschränkungen wird übermittelt:

  • Ausgewählte Bettzeit, z.B. 20 Uhr bis 7 Uhr
  • Die Namen der gesperrten Apps
  • Festgelegte Gesamtnutzungsdauer pro Tag
  • Festgelegte Gesamtnutzungsdauer jeder App
  • usw.

In regelmäßigen Abständen:

  • Android-ID
  • Die Namen der installierten Apps
  • Standardinformationen: Gerätehersteller und -modell, Zeitzone, Android-Version

Facebook: Direkt nach dem Start der App und in wiederkehrenden Abständen werden unter anderem folgende Informationen übermittelt:

  • Google Werbe-ID
  • Name und Versionsnummer der App
  • Standardinformationen: Gerätemodell, Android-Version, Land und Zeitzone

Hinweis: Diese Daten werden in kontinuierlichen Abständen an Facebook übermittelt – ganz gleich, ob man dort einen Account hat oder nicht.

AppMeasurement: App-Measurement gehört zu Google und ist ein kostenloses Werkzeug zur Nutzeranalyse in iOS- und Android-Apps.

Während der Nutzung wird unter anderem übermittelt:

Hinweis: Weitere Informationen bzw. Datenübermittlungen sind zusätzlich verschlüsselt und lassen sich nicht einsehen.

Google FCM: FCM ist ein Google-Dienst für Push-Nachrichten. Übertragen werden:

  • Verschiedene eigene Kennnummern
  • App-Name und -Version

Kissmetrics.com: Kissmetrics ist ein kalifornischer Analysedienst, der das Nutzerverhalten innerhalb von Apps trackt. Übertragen werden:

  • Verschiedene eigene Kennnummern
  • Übertragen werden sämtliche Menü-Punkte, die der Nutzer in der App öffnet.

Wie sicher speichert die App meine Daten?

Die Account-Daten werden im Klartext auf dem Gerät hinterlegt – sowohl der Nutzername (E-Mail-Adresse) als auch das Passwort. Auch die Eltern-Sicherheits-PIN wird im Klartext in der Datei gespeichert.

Das ist ein grober handwerklicher Schnitzer, der gerade beim Umgang mit sensiblen Daten von Kindern nicht passieren sollte. Denn mit etwas technischem Know-how kann man die Zugangsdaten für die App-Verwaltung dadurch vom Gerät des Kindes auslesen, wenn man es unversperrt in die Hände bekommt. Es sei denn, der Überwacher hat die Dateien-App komplett gesperrt.

Was sagt die Datenschutzerklärung?

Die Screen Time Lab Ltd. weist in der Datenschutzerklärung ausdrücklich darauf hin, dass alle Informationen, die zwischen dem Smartphone der Eltern und des Kindes übertragen werden, über seine Server geleitet werden. Dazu gehören auch Nachrichten, die Eltern und Kinder sich gegenseitig über die App senden können.

Leider liegt die Erklärung nur teilweise auf Deutsch vor und bezieht sich auch auf die Webseite von Screen Time. Dass Facebook Daten aus der App bezieht, wird nicht erwähnt.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

leitet die Redaktion bei mobilsicher.de. Sie recherchiert und schreibt Texte, gibt Beiträgen von anderen den letzten Schliff, betreut den YouTube-Kanal und die Webseite. Seit 2022 baut sie für den ITUJ e.V. ein Team gegen digitale Gewalt auf, mehr Infos dazu unter: ein-team.org

Weitere Artikel

Ratgeber 

Bundeskriminalamt hackt Telegram

Wenn es um sichere Messenger für das Handy geht, fällt meistens auch der Name "Telegram" - zu unrecht, wie Experten schon lange sagen. Ein Bericht des Tech-Magazins Motherboard schildert detailliert, wie das BKA Nachrichten von Telegram mühelos abfängt.

Mehr
Ratgeber 

Heimweg-App WayGuard kurz vorgestellt

WayGuard bietet einen 24-Stunden-Begleitservice für den Heimweg und beschäftigt dazu ein eigenes Team. Hinter der kostenlosen App steht der Versicherungskonzern AXA. Die App ist einfach zu bedienen, bindet aber auch Facebook- und Google-Dienste ein.

Mehr
Ratgeber 

Rückblick: Das Wichtigste im Januar

Wenn Sie das neue Jahr mit mehr Privatsphäre und Bewegung beginnen möchten, haben wir die richtigen Tipps für Sie. Im Januar ging es bei uns außerdem um die App des chinesischen Moderiesen SHEIN – und das Netz diskutierte mal wieder über die Check-In-App luca.

Mehr
Ratgeber 

Android Go – aktuelles Android für preisgünstige Geräte

Mit Android Go werden preisgünstige Smartphones sicherer. Die abgespeckte Variante des Betriebssystems Android 8 läuft auf Geräten mit wenig leistungsfähiger Hardware, die vorher meist nur mit veralteten Android-Versionen zu haben waren. Wir erklären die Stärken und Schwächen der Android-Sparversion.

Mehr