Εφαρμογή γονικού ελέγχου με 5 εκατομμύρια λήψεις ευάλωτη σε επιθέσεις

Η εφαρμογή Kiddowares «Parental Control – Kids Place» για Android επηρεάζεται από πολλαπλά τρωτά σημεία που θα μπορούσαν να επιτρέψουν στους εισβολείς να ανεβάζουν αυθαίρετα αρχεία σε προστατευμένες συσκευές, να κλέβουν διαπιστευτήρια χρήστη και να επιτρέπουν στα παιδιά να παρακάμπτουν τους περιορισμούς χωρίς να το αντιληφθούν οι γονείς.

Η εφαρμογή Kids Place είναι μια σουίτα γονικού ελέγχου με 5 εκατομμύρια λήψεις στο Google Play, που προσφέρει δυνατότητες παρακολούθησης και γεωγραφικής τοποθεσίας, πρόσβαση στο διαδίκτυο και περιορισμούς αγορών, διαχείριση χρόνου οθόνης, αποκλεισμό επιβλαβούς περιεχομένου, απομακρυσμένη πρόσβαση στη συσκευή και πολλά άλλα.

Ερευνητές στο

Συμβουλευτείτε το SEC

διαπίστωσαν ότι οι εκδόσεις της εφαρμογής Kids Place 3.8.49 και παλαιότερες είναι ευάλωτες σε πέντε ελαττώματα που θα μπορούσαν να επηρεάσουν την ασφάλεια και το απόρρητο των χρηστών της.

Τα πέντε ζητήματα ασφαλείας είναι τα ακόλουθα:

1. Οι ενέργειες εγγραφής χρήστη και σύνδεσης επιστρέφουν τον μη αλατισμένο κατακερματισμό MD5 του κωδικού πρόσβασης, ο οποίος μπορεί να υποκλαπεί και να αποκρυπτογραφηθεί εύκολα. Οι κατακερματισμοί MD5 δεν θεωρούνται πλέον κρυπτογραφικά ασφαλείς, καθώς μπορούν να εξαναγκαστούν με ωμή χρήση χρησιμοποιώντας σύγχρονους υπολογιστές.
2. Το προσαρμόσιμο όνομα της συσκευής του παιδιού μπορεί να τροποποιηθεί για να ενεργοποιηθεί ένα ωφέλιμο φορτίο XSS στον πίνακα εργαλείων γονικού ιστού. Τα παιδιά ή οι εισβολείς μπορούν να εισάγουν κακόβουλα σενάρια για εκτέλεση στον πίνακα ελέγχου των γονέων, επιτυγχάνοντας μη εξουσιοδοτημένη πρόσβαση. Το ζήτημα έχει λάβει το αναγνωριστικό CVE-2023-29079.
3. Όλα τα αιτήματα στον πίνακα ελέγχου ιστού είναι ευάλωτα σε επιθέσεις πλαστογραφίας αιτημάτων μεταξύ τοποθεσιών (CSRF). Η επίθεση απαιτεί γνώση του αναγνωριστικού συσκευής, το οποίο μπορεί να αποκτηθεί από το ιστορικό του προγράμματος περιήγησης. Το ζήτημα έχει λάβει το αναγνωριστικό CVE-2023-29078.
4. Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί τη δυνατότητα του πίνακα ελέγχου της εφαρμογής, που αρχικά προοριζόταν για τους γονείς να στέλνουν αρχεία έως και 10 MB στη συσκευή του παιδιού τους, για να ανεβάζουν αυθαίρετα αρχεία σε έναν κάδο AWS S3. Αυτή η διαδικασία δημιουργεί μια διεύθυνση URL λήψης η οποία στη συνέχεια αποστέλλεται στη συσκευή του παιδιού. Δεν πραγματοποιείται σάρωση προστασίας από ιούς στα μεταφορτωμένα αρχεία, επομένως αυτά μπορεί να περιέχουν κακόβουλο λογισμικό.
5. Ο χρήστης της εφαρμογής (παιδί) μπορεί να καταργήσει προσωρινά όλους τους περιορισμούς χρήσης για να παρακάμψει τους γονικούς ελέγχους. Η εκμετάλλευση του ελαττώματος, που παρακολουθείται ως CVE-2023-28153, δεν δημιουργεί ειδοποίηση στον γονέα, επομένως περνά απαρατήρητη, εκτός εάν πραγματοποιηθεί μη αυτόματος έλεγχος στον πίνακα εργαλείων.

Η αναφορά του SEC Consult περιέχει αιτήματα απόδειξης ιδέας ή οδηγίες βήμα προς βήμα για την εκμετάλλευση των παραπάνω ζητημάτων, διευκολύνοντας τους φορείς απειλών να εκμεταλλευτούν τα τρωτά σημεία σε παλαιότερες εκδόσεις των εφαρμογών ή για τα παιδιά να παρακάμψουν τους περιορισμούς.

Επομένως, είναι απαραίτητο να κάνετε ενημέρωση σε μια ασφαλή έκδοση της εφαρμογής, η οποία είναι 3.8.50 ή μεταγενέστερη.

Οι αναλυτές ανακάλυψαν τα ελαττώματα στις 23 Νοεμβρίου 2022, ενώ δοκίμαζαν το Kids Place 3.8.45 και το ανέφεραν στον πωλητή Kiddoware.

Ο πωλητής τελικά αντιμετώπισε όλα τα προβλήματα με την έκδοση 3.8.50, που κυκλοφόρησε στις 14 Φεβρουαρίου 2023.

Οι χρήστες της εφαρμογής μπορούν να ενημερώσουν στην πιο πρόσφατη έκδοση ανοίγοντας το Google Play store, πατώντας το εικονίδιο του λογαριασμού τους, επιλέγοντας «Διαχείριση εφαρμογών και συσκευής» και πατώντας στο «Έλεγχος για ενημερώσεις».

Εναλλακτικά, πατήστε παρατεταμένα το εικονίδιο της εφαρμογής και, στη συνέχεια, επιλέξτε

Πληροφορίες εφαρμογής

→

Λεπτομέρειες εφαρμογής

→

Εκσυγχρονίζω

.