 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
5 мая, воскресенье, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Восемь Android-приложений для родительского контроля, суммарно собравшие свыше 20 млн загрузок, содержат уязвимости, грозящие обходом выставленных ограничений. Некоторые проблемы, по данным SEC Consult, позволяют добраться до конфиденциальной информации, в том числе на других устройствах в домашней сети.
Специализированные интернет-фильтры, призванные оградить детей от нежелательного контента, хранят и передают большие объемы конфиденциальной информации — такой как установленные приложения, контакты, фото, данные геолокации, метаданные вызовов, содержание СМС-сообщений. Выявленные уязвимости не только сводят на нет основную задачу такого софта, но также ставят под угрозу сохранность этих данных и безопасность устройств детей и родителей.
Для исследования были отобраны восемь программ родительского контроля, доступных в Google Play:
Как оказалось, все они позволяют обойти ограничения, выставленные родителями, посредством отзыва разрешений — через настройки Android или переходом в безопасный режим. Речь идет о таких разрешениях, как политики администрирования, история использования, спецвозможности, наложение окна. Некоторые испытуемые приложения пытаются воспрепятствовать такому вмешательству — например, с помощью оверлея поверх системных настроек.
Одна из программ родительского контроля из-за неадекватного управления сессиями позволяла расширить права других приложений ребенка через API. Это тоже грозит снятием всех ограничений — от имени родителя. Еще одно спецприложение открывает возможность для считывания метаданных на другом устройстве через API.
Некоторые испытуемые проги допускают использование клиент-серверного приложения ADB (Android Debug Bridge) для создания резервных копий. В итоге злоумышленник сможет с его помощью добраться до бэкапа и украсть конфигурационные и другие закрытые данные, хранимые на смартфоне.
Исследователи также проверили на уязвимость веб-панели мониторинга для родителей. Оказалось, что в двух случаях можно провести XSS-атаку с целью выполнения различных действий на устройстве ребенка от имени родителя. Уязвимость тоже позволяет снять текущие ограничения, а также получить доступ к учетным данным пользователя (родителя).
Несколько приложений-фильтров допускают передачу данных открытым текстом (в виде опции), что открывает возможность для атаки «человек посередине» (MitM). Злоумышленник сможет таким образом завладеть учетками и ПДн. В этом случае не спасет даже такая защита, как закрепление сертификатов (certificate pinning), так как ее можно обойти с помощью специального скрипта для фреймворка Frida.
Некоторые сторонние серверы, с которыми контактируют программы родительского контроля, отслеживают не только использование софта и веб-панели, но также движения курсора мыши и клики — таким трекингом занимается, в частности, сервис mc.yandex.ru, получающий данные от Find My Kids.
О своих находках SEC Consult сообщила вендорам. После выпуска патчей аналитики обещают опубликовать другие подробности.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
