Kids Place je sada aplikací pro rodičovskou kontrolu s 5 miliony stažení na Google Play. Nabízí možnosti monitorování a geolokace, omezení přístupu k internetu a nákupů, správu času stráveného u displeje, blokování škodlivého obsahu, vzdálený přístup k zařízení a další na první pohled užiteční funkce.
Výzkumníci bezpečnostní společnosti SEC Consult ale zjistili, že aplikace Kids Place ve verzi 3.8.49 a starší je zranitelná a má pět závažných nedostatků, které mohou mít dopad na bezpečnost a soukromí uživatelů.
Pokud používáte tuto aplikaci, aktualizujte na verzi 3.8.50 nebo novější. | Zdroj: Screenshot Google Play
Jedná se o následujících pět bezpečnostních chyb:
- Při registraci a přihlašování uživatelů se vrací hash hesla, který lze zachytit a snadno dešifrovat. Hash MD5 již není považován za kryptograficky bezpečný – neodolá útokům hrubou silou.
- Děti nebo útočníci mohou injektovat škodlivé skripty, které se spustí v ovládacím panelu rodiče, a dosáhnout tak neoprávněného přístupu. Problém získal identifikátor CVE-2023-29079.
- Všechny požadavky ve webovém ovládacím panelu jsou zranitelné vůči útokům CSRF (cross-site request forgery). Útok vyžaduje znalost ID zařízení, které lze získat z historie prohlížeče. Problém získal identifikátor CVE-2023-29078.
- Útočník může zneužít funkci ovládacího panelu aplikace, která byla původně určena pro rodiče k odesílání souborů do velikosti 10 MB do zařízení jejich dítěte, k nahrání libovolných souborů. U nahraných souborů neprobíhá žádná antivirová kontrola, takže mohou obsahovat malware.
- Uživatel aplikace (dítě) může dočasně vypnout všechna nastavená omezení a obejít tak rodičovskou kontrolu. Zneužití chyby, sledované jako CVE-2023-28153, negeneruje oznámení pro rodiče, takže zůstane nepovšimnuto, pokud není provedena ruční kontrola na ovládacím panelu.
Pokud aplikaci používáte, je nutné aktualizovat na verzi 3.8.50 nebo novější
Zdroj: SEC Consult