Das Security-Kollektiv Zerforschung hat zahlreiche Lücken in der App „Scoolio“ dokumentiert, über die Daten von zum größten Teil minderjährigen Schülerinnen und Schülern abrufbar waren. Die Schwachstellen sind laut dem Anbieter der App inzwischen geschlossen, die Dokumentation lief in einem Verfahren der Responsible Disclosure seit dem 20. September 2021. In Scoolio können Schülerinnen und Schülern sowie Lehrkräften Stundenpläne, Hausaufgaben und anderen Planungen hinterlegen, die werbefinanzierte App ist aber auch ein soziales Netzwerk mit kleinen Spielen und Chaträumen. Laut einem Blogeintrag von Zerforschung waren die anhand der Daten gewonnen Persönlichkeitsprofile schlecht geschützt. An ihrem eigenen Profil konnten die Sicherheitsforscher über ein Person-in-the-Middle-Proxy die Kommunikation zwischen App und Server beobachten und sich an den Endpunkten der genutzten APIs entlang hangeln. Das Team fand heraus, dass sich mit Profil-IDs die Daten der zugehörigen Accounts abrufen ließen. Die Sicherheitsforscherin Lilith Wittmann, die seit Kurzem mit Zerforschung zusammenarbeitet, schätzt im Gespräch mit heise online, dass so rund 400.000 Profile abrufbar gewesen seien. Da Scoolio auch frei erstellbare Chaträume wie „Christen“ oder „LGBTQ“ erlaubt, ließen sich über Mitgliedschaften dort und die Profil-IDs auch Daten über religiöse oder sexuelle Orientierung von größtenteils minderjährigen Menschen sammeln. Die Sicherheitsexperten sehen auch die Gefahr, dass die App von Erwachsenen für Cybergrooming missbraucht wird. So sei es möglich gewesen, ein Benutzerprofil für eine Person von angeblich 33 Jahren anzulegen, mit dem unter anderem der Zutritt zur Chatgruppe „Suche Freund zwischen 12 und 13“ möglich war. Dies sei nicht von den Moderatoren von Scoolio unterbunden worden. Die Scoolio GmbH verweist in einer Mitteilung auf technische Schutzmaßnahmen für den Jugendschutz wie einen Upload-Filter für Bilddateien sowie eine Sperre von Mailadressen und Telefonnummern in Chats. Zudem soll es weitere Verbesserungen geben, denen dann ein „Safety Audit durch externe IT-Experten“ folgen soll. In der Mitteilung dankt Scoolio den Sicherheitsexperten. Diese haben ihre aktuelle Veröffentlichung nur als ersten Teil der Reihe „Back to school“ bezeichnet – weitere Untersuchungen von Schul-Apps sollen folgen.