家長控制軟體出包 可輕易繞過限制易受攻擊
編譯/鄭智懷
資安業者SEC Consult近期發現,在Google Play上高達500萬次下載量的家長控制軟體Kids Place竟有高達五個安全漏洞,不僅可以讓被監控的小孩輕鬆繞過諸項限制,同時還讓攻擊者能隨意傳送各式檔案、盜取其設備資料。
SEC Consult表示,包含Kids Place 3.8.49版,以及更之前的版本都會具有上述問題。五個安全漏洞分別為加密過時、下載設定問題,以及CVE-2023-29079、CVE-2023-29078與CVE-2023-28153等。
SEC Consult指出,Kids Place保護用戶登入帳號密碼過程所採用的加密機制為過時的MD5雜湊(Hash)演算法,且未使用在雜湊中加入亂碼,俗稱加鹽(Salting)之技術,因此可迅速透過暴力破解解密。
其次,Kids Place的下載設定使攻擊者可以利用程式功能,將上傳至雲端的惡意程式透過網址的傳輸,直接傳送至目標的行動裝置且不會被掃描。
至於在CVE-2023-29079、CVE-2023-29078與CVE-2023-28153N0三個安全漏洞方面,CVE-2023-29079可以讓攻擊者使用小孩設定的名稱執行跨站腳本(XSS)攻擊,操縱家長的程式並達到未授權訪問之目的;CVE-2023-29078讓攻擊者只要獲取設備IP,就能到用用戶身分發動跨站請求偽造(CSRF)攻擊;CVE-2023-28153N0使小孩可以暫時性刪除所有限制,使用任何原先不被家長允許的功能且不會通知家長。除非家長手動檢查,否則不會察覺小孩曾經破解限制功能。
SEC Consult在2022年11月底即發現Kids Place的五個安全問題且通報該程式開發商Kiddoware。2023年2月14日,開發商推出Kids Place 3.8.50,以解決上述所有缺陷。
資料來源:BleepingComputer
瀏覽 689 次