Kika ist der Kinderkanal von den beiden öffentlichen Rundfunkanstalten ARD und ZDF in Deutschland und nach wie vor ein sehr beliebter Sender bei Kindern. So wird über diesen Sender bspw.”Sendung mit der Maus” oder “Sandmännchen” ausgestrahlt, welches in vielen Haushalten täglich den Kindern eine gute Nacht wünscht.
Laut Wikipedia verwendet Kika seit kurzem auch die Möglichkeit des Livestreames auf kika.de, außerdem nutzen viele Kinde kika.de auch als zusätzliche Informationsquelle zu den Sendungen. Insbesondere bei einer solchen unerfahrenen Benutzergruppe ist die Sicherheit seitens des Anbieters wichtig. Ein Grund mehr, für die Internetwache, die Webpräsenz von kika (kika.de) auf Sicherheitslücken zu überprüfen.
Nachdem wir uns einen Überblick über die Webseite verschafften stellen wir zunächst keine Lücken fest, denn anscheint wurden unsere Eingaben ausreichend gefiltert. Schließlich wurden wir kurz vor Abschluss der Überprüfung noch auf einen auffälligen Parameter in der Suchfunktion aufmerksam, welcher ungefiltert an den User zurückgegeben wurde. Es war eine XSS (Cross Site Scripting) Lücke, durch welche es mögich war Javascript-Code auszuführen und bspw. fremde Inhalte einzubinden oder auf bestimmte Inhalte weiterzuleiten. Diese Lücke ist insoweit als kritisch einzustufen, da die Zielgruppe oft noch unerfahren mit dem Internet umgeht (Kinder & Jugendliche). Diese Nutzergruppe wird oft Opfer von (Phishing)-Attacken, da diese sicherheitsrelevante Warnhinweise vom Browser oder dem Antivieren System ignorieren bzw. wegklicken. Zudem sind sie recht gutgläubig, was sich Onlinekriminelle zunutze machen könnten.
Am 13.06.2012 meldeten wir die Lücke mit ausführlicher Schilderung des Problemes an den entsprechenden Webmaster. Diese wurde bereits 3 Tage nach Meldung, am 16.06.2012, behoben. Eine freundliche Rückmeldung mit der Behebung der Sicherheitslücken erhielten wir weitere drei Tage später. Herzlichen Dank an die Online-Redaktion von kika.de für den äußerst kompetenten und verantwortungsvollen Umgang mit der gemeldeten Lücke. Wenn alle Webmaster so aufmerksam und kooperativ wären, dann hätte sich die Internetwache den einen oder anderen Anruf sicher schon sparen können.
Das Team der Internetwache.org
Screenshots
