Kiddowares’in Android için ‘Ebeveyn Denetimi – Kids Place’ uygulaması, saldırganların korunan cihazlara rastgele dosyalar yüklemesine, kullanıcı kimlik bilgilerini çalmasına ve ebeveynlerin farkına varmadan çocukların kısıtlamaları aşmasına olanak tanıyan birden fazla güvenlik açığından etkilenir.
Kids Place uygulaması, Google Play’de 5 milyon kez indirilen, izleme ve coğrafi konum belirleme yetenekleri, internet erişimi ve satın alma kısıtlamaları, ekran süresi yönetimi, zararlı içerik engelleme, uzaktan cihaz erişimi ve daha fazlasını sunan bir ebeveyn denetimi paketidir.
SEC Consult’daki araştırmacılar, Kids Place uygulamasının 3.8.49 ve daha eski sürümlerinin, kullanıcılarının güvenliğini ve gizliliğini etkileyebilecek beş kusura karşı savunmasız olduğunu keşfetti.
Beş güvenlik sorunu şunlardır:
- Kullanıcı kaydı ve oturum açma işlemleri, ele geçirilebilen ve kolayca şifresi çözülebilen şifrenin tuzsuz MD5 karmasını döndürür. MD5 karmaları, modern bilgisayarlar kullanılarak kaba kuvvetle uygulanabileceklerinden artık kriptografik olarak güvenli kabul edilmemektedir.
- Çocuğun cihazının özelleştirilebilir adı, ana web panosunda bir XSS yükünü tetikleyecek şekilde değiştirilebilir. Çocuklar veya saldırganlar, ebeveyn panosunda yürütülecek kötü amaçlı komut dosyaları ekleyerek yetkisiz erişim sağlayabilir. Sorun, CVE-2023-29079 tanımlayıcısını aldı.
- Web kontrol panelindeki tüm istekler, siteler arası istek sahteciliği (CSRF) saldırılarına karşı savunmasızdır. Saldırı, tarayıcı geçmişinden elde edilebilen cihaz kimliğinin bilgisini gerektirir. Sorun, CVE-2023-29078 tanımlayıcısını aldı.
- Bir saldırgan, başlangıçta ebeveynlerin çocuklarının cihazına 10 MB’a kadar dosya göndermesi ve bir AWS S3 klasörüne keyfi dosyalar yüklemesi için tasarlanan uygulamanın pano özelliğinden yararlanabilir. Bu işlem, daha sonra çocuğun cihazına gönderilen bir indirme URL’si oluşturur. Yüklenen dosyalarda antivirüs taraması yapılmaz, dolayısıyla bunlar kötü amaçlı yazılım içerebilir.
- Uygulama kullanıcısı (çocuk), ebeveyn denetimlerini atlamak için tüm kullanım kısıtlamalarını geçici olarak kaldırabilir. CVE-2023-28153 olarak izlenen kusurdan yararlanmak, ebeveyne bir bildirim oluşturmaz, bu nedenle gösterge tablosunda manuel bir kontrol yapılmadığı sürece fark edilmez.
SEC Consult’un raporu, tehdit aktörlerinin uygulamaların eski sürümlerindeki güvenlik açıklarından yararlanmasını veya çocukların kısıtlamaları aşmasını kolaylaştıran, kavram kanıtı istekleri veya yukarıdaki sorunlardan yararlanmaya yönelik adım adım talimatlar içerir.
Bu nedenle, uygulamanın 3.8.50 veya sonraki bir sürümü olan güvenli bir sürümüne güncellemek önemlidir.
Analistler, 23 Kasım 2022’de Kids Place 3.8.45’i test ederken kusurları keşfetti ve satıcı Kiddoware’e bildirdi.
Satıcı sonunda 14 Şubat 2023’te yayınlanan 3.8.50 sürümüyle tüm sorunları giderdi.
Uygulama kullanıcıları, Google Play mağazasını açıp hesap simgesine dokunarak, “Uygulamaları ve cihazı yönet”i seçip “Güncellemeleri kontrol et”e dokunarak en son sürüme güncelleme yapabilir.
Alternatif olarak, uygulamanın simgesine uzun basın ve ardından Uygulama bilgisi → Uygulama ayrıntıları → Güncelleme.