En forsker med cybersikkerhedsfirmaet Tripwire har opdaget en sårbarhed i forældrekontrol -appen Canopy, der gør det muligt for angribere at plante JavaScript i forældreportalen og få adgang til alle de funktioner, en forælder ville have med deres barns enhed .
Tripwires hovedsikkerhedsforsker Craig Young fortalte ZDNet, at Canopy var blevet annonceret for ham gennem sit barns skole, hvilket fik ham til at kigge appens cybersikkerhedsfunktioner igennem.
“Jeg havde en interesse i at lære mere om, hvordan forældrekontrolsoftware implementeres, og hvilke risici det eventuelt kan medføre for familier. Jeg opdagede disse sårbarheder ved bevidst at undersøge, hvordan systemet behandler specialtegn hos forældre kontrolanmodninger, “sagde Young.
“Mine børns skole sendte reklamer hjem til Canopy, og derfor tænkte jeg, at det ville være en god service at lære mere om. Efter at have tilmeldt mig en gratis prøveperiode for at se, hvad tjenesten har at tilbyde, testede jeg, hvad der ville ske, hvis forælderen til et barn havde specialtegn i deres forespørgselsmeddelelse. Det var tydeligt, at Canopy ikke filtrerer brugerinputet. ”
Derfra undersøgte han nærmere og indså, at URL'en i en forældrekontrolanmodning heller ikke blev filtreret korrekt. Han fandt ud af, at en helt ekstern bruger kun kan injicere denne XSS med kun en enkelt ukendt numerisk ID -værdi, så en angriber kan tilføje JavaScript -kode til forælderportalen for hver Canopy -konto.
Javascriptet kan derefter bruges til at gøre alt fra kryptovaluta -minedrift til browserudnyttelser rettet mod forældre. JavaScript kan også bruges til at eksportere data om kundekonti, herunder placeringsdata fra overvågede enheder. Datadumpen kan sælges til forskellige uvelkomne formål, tilføjede Young.
En angriber ville have fuld adgang til forældreportalen og alle funktioner, en forælder har til overvågning og kontrol af børneenheder, og Young sagde, at det ser ud til, at en angriber ville være i stand til at gøre dette i massevis til alle kunder i Baldakin.
Young kontaktede Canopy, men sagde, at de var “minimalt lydhøre” og hævdede at have en løsning på plads. Men Young sagde, at rettelsen ikke løser det fulde problem og kun gør det, så et teoretisk barn ikke længere er i stand til at angribe deres forælder med forklaringsteksten. Men barnet kan stadig angribe forældrekontoen ved hjælp af adressen på et blokeret websted som cross -site scriptingvektoren, og en tredjepart kan også gøre dette, sagde Young.
De har ikke reageret på hans seneste opsøgende meddelelse om dette. Canopy reagerede heller ikke på anmodninger om kommentar fra ZDNet.
Canopy tilbyder en lang række tjenester, herunder en forældrekontrolapp på flere platforme, der gør det muligt for forældre at overvåge og begrænse, hvordan deres børn bruger en enhed. Canopy fungerer som abonnementstjenester og kræver månedlige betalinger.
Mange af de funktioner, der tilbydes af tjenesten, indebærer, at appen får privilegeret adgang til den beskyttede enhed og opsnapper TLS -forbindelser for at filtrere indhold.
Young forklarede, at denne priviligerede adgang kan medføre en betydelig risiko for beskyttelsen af beskyttede enheder og fortrolighed for børn, der bruger disse enheder.
Han bemærkede, at Canopy implementerer en VPN -forbindelse og bruger en eller anden form for AI på enheden til beskyttelse af personlige oplysninger.
Gennem at undersøge, hvordan appen fungerer, opdagede Young, at Canopy-systemet ikke renser brugerinput, hvilket fører til scripting på tværs af websteder, hvilket gør det muligt for angribere at integrere en angrebsnyttelast inden for en undtagelsesanmodning.
“Selvom der kan være en lang række måder, hvorpå et smart barn kan misbruge denne sårbarhed, ville det mest oplagte være at automatisk godkende en anmodning. Inputfeltet syntes ikke at have nogen desinfektion og tillod 50 tegn, som var rigeligt til at skaffe en ekstern script, “forklarede Young i sin rapport.
“Min første test var en nyttelast for automatisk at klikke for at godkende den indgående anmodning. Dette fungerede godt, og jeg fik hurtigt en ny nyttelast til at automatisk stoppe overvågningsbeskyttelsen. På dette tidspunkt kunne barnet, der brugte den beskyttede enhed, injicere vilkårlig JavaScript i en godkendt forælder session. Dette kan være nyttigt for en række angreb mellem børn og forældre, herunder at foretage en selvgodkendende undtagelsesanmodning eller en anmodning, der automatisk deaktiverer overvågningssoftwaren, når den ses. Dette er dårligt, men det kan være værre. ”
Young bemærkede, at denne form for udnyttelse er “støjende”, hvilket betyder, at en forælder skal interagere med den ondsindede anmodning og muligvis genkender det igangværende angreb.
VTech -hack: Fire afgørende takeaways for hver forælder og administrerende direktør
Hacket var et katastrofalt tab af data for forældre og børn.
Læs mere
Yderligere undersøgelse af Canopy -appen viste, at systemet kunne narres ved at kombinere dobbelte og enkelte citater. Med det kunne nogen indsende en undtagelsesanmodning, der tager kontrol over Canopy -appen, når forælderen blot logger ind for at kontrollere de overvågede enheder.
“Denne situation lover ikke godt for Canopy -forældrekontrolsystemet, men på samme tid kan du måske undre dig over, om det virkelig er en stor ting. De fleste børn, der overvåges med dette system, vil trods alt ikke have en anelse om XSS eller have adgang til en forældrekonsol for at udvikle en nyttelast, “skrev Young.
“Desværre er angrebsoverfladen for denne sårbarhed en del mere væsentlig end den, der blev diskuteret tidligere med forklaringsforklaringstekst. Fordi dette angreb indebærer, at en udformet webadresse blokeres, bliver det muligt for angreb at komme fra helt eksterne tredjepartskilder. Enhver, der kan få et barn til at bruge den beskyttede enhed til at klikke på et link, kan nu potentielt angribe forældrenes overvågning af denne konto. ”
Et barn behøver kun at blive overbevist om at klikke på en anmodningsadgangsknap, når URL'en er blevet indlæst, men Young sagde, at den skræmmende del er, at Canopy API-designet “endda tillader den eksterne angriber at direkte plante en script-nyttelast på tværs af websteder på en forældrekonto ved at gætte forældrekonto -id'et. “
På grund af den relativt korte længde af konto -id'er kunne angriberne teoretisk set såse angrebets nyttelast på hver enkelt forældrekonto ved blot at udsende en anmodning om blokundtagelse for hver ID -værdi i rækkefølge, ifølge Young.
“Den eksterne angriber kan bruge dette til at omdirigere forælderen til reklamer, bedrifter eller andet ondsindet indhold. Alternativt kan en angriber plante en nyttelast for at kapre adgang til forældrekontrolappen og trække GPS -koordinater fra beskyttede enheder på kontoen, ”sagde Young.
“Fra mit perspektiv er dette en temmelig grundlæggende fiasko for en app, der reklamerer for, at den kan beskytte børn online.”
En række cybersikkerhedseksperter fortalte ZDNet, at disse typer fejl er til stede på et stort antal tjenester.
Oliver Tavakoli, CTO hos Vectra, sagde, at udviklerne af Canopy -tjenesten ser ud til at mangle forståelse for, hvordan man sikre en tjeneste mod ondsindede aktører og tilføje, at ved ikke at rense inputfelter eller data (f.eks. webadresser), der er modtaget fra internettet, er “at mislykkes Sikkerhed 101.”
Tavakoli sagde faktisk, at denne særlige fejl er noget sværere at udnytte, fordi det kræver at lokke et barn til at klikke på et link for at levere en nyttelast til et forældresystem.
Andre sagde, at sårbarheden var et andet eksempel på, hvorfor “Injektions” mangler har været i OWASP Top 10 i mere end et årti.
Ray Kelly, hovedsikkerhedsingeniør hos NTT Application Security, sagde, at udviklere stadig er skødesløse, når de accepterer upålidelige og ufiltrerede input fra brugerne.
“Accept af ufiltreret input kan føre til en sårbarhed over for scripts på tværs af websteder, som kan skabe en lang række spørgsmål. Dette omfatter at stjæle en brugersession-cookies, omdirigere til et ondsindet websted eller integrere en keylogger,” sagde Kelly.
“Dette demonstrerer også, hvorfor sikkerhedstest af alle input i en webapplikation er så vigtig, og hvordan det kan nå ud til mobile enheder, hvilket drastisk øger din angrebsoverflade.”
På spørgsmålet om, hvordan Baldakin kan løse problemet, sagde Young, at Canopy skal rense alle brugerindgangsværdier.
“Jeg vil også anbefale, at Canopy opstiller en sikkerhedspolitisk rapporteringspolitik og retningslinjer for, hvordan forskere ansvarligt kan undersøge deres systemer og dele teknisk feedback,” tilføjede Young.
Sikkerhed
Fortinet, Shopify rapporterer problemer efter root -CA -certifikat fra Lets Encrypt udløber Ransomware -bander klager over, at andre skurke stjæler deres løsesum Båndbredde -CEO bekræfter afbrydelser forårsaget af DDoS -angreb Disse systemer står over for milliarder af angreb hver måned, da hackere forsøger at gætte adgangskoder Sådan får du et bedst betalende job inden for cybersikkerhed Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Datahåndtering Sikkerhed TV CXO datacentre 