En forsker med cybersikkerhetsfirmaet Tripwire har oppdaget en sårbarhet i foreldrekontrollappen Canopy som lar angripere plante JavaScript i foreldreportalen og få tilgang til alle funksjonene en forelder ville ha med barnets enhet .
Tripwires viktigste sikkerhetsforsker Craig Young fortalte ZDNet at Canopy hadde blitt annonsert for ham gjennom barnets skole, og fikk ham til å se gjennom appens cybersikkerhetsfunksjoner.
“Jeg hadde en interesse av å lære mer om hvordan foreldrekontrollprogramvare implementeres og hvilke risikoer det kan føre til for familier. Jeg oppdaget disse sårbarhetene ved bevisst å undersøke hvordan systemet behandler spesialtegn hos foreldre kontrollforespørsler, “sa Young.
“Barnas skole sendte hjem reklame for Canopy, og derfor tenkte jeg at det ville være en god tjeneste å lære mer om. Etter å ha registrert meg for en gratis prøveperiode for å se hva tjenesten har å tilby, testet jeg hva som ville skje hvis forelder til et barn hadde spesialtegn i forespørselsmeldingen. Det var åpenbart at Canopy ikke filtrerer brukerinngangen. ”
Derfra undersøkte han nærmere og innså at URL -en i en forespørsel om foreldrekontroll heller ikke ble filtrert skikkelig. Han fant ut at en helt ekstern bruker kan injisere denne XSS med bare en ukjent numerisk ID -verdi, slik at en angriper kan legge til JavaScript -kode i hovedportalen for hver Canopy -konto.
JavaScript kan deretter brukes til å gjøre alt fra kryptovaluta -gruvedrift til nettleserutnyttelser rettet mot foreldre. JavaScript kan også brukes til å eksportere data om kundekontoer inkludert posisjonsdata fra overvåkte enheter. Datadumpen kan selges for en rekke uvelkomne formål, la Young til.
En angriper ville ha full tilgang til foreldreportalen og alle funksjoner en forelder har for overvåking og kontroll av barneenheter, og Young sa at det ser ut til at en angriper kan gjøre dette i massevis for alle kunder i Baldakin.
Young kontaktet Canopy, men sa at de har vært “minimalt lydhøre” og hevdet å ha en løsning på plass. Men Young sa at reparasjonen ikke tar for seg hele problemet og bare gjør det slik at et teoretisk barn ikke lenger kan angripe foreldrene sine med forklaringsteksten. Men barnet kan fortsatt angripe foreldrekontoen ved å bruke adressen til et blokkert nettsted som skriptvektor på tvers av nettsteder, og en tredjepart kan også gjøre dette, sa Young.
De har ikke svart på hans siste oppsøkende å gi dem beskjed om dette. Canopy reagerte heller ikke på forespørsler om kommentar fra ZDNet.
Canopy tilbyr en rekke tjenester, inkludert en app for foreldrekontroll på flere plattformer som lar foreldre overvåke og begrense hvordan barna bruker en enhet. Canopy fungerer som abonnementstjenester og krever månedlige betalinger.
Mange av funksjonene som tilbys av tjenesten innebærer at appen får privilegert tilgang til den beskyttede enheten og fanger opp TLS -tilkoblinger for å filtrere innhold.
Young forklarte at denne privilegerte tilgangen kan innebære en betydelig risiko for sikkerheten til beskyttede enheter og personvernet til barna som bruker disse enhetene.
Han bemerket at Canopy implementerer en VPN -tilkobling og bruker en eller annen form for AI på enheten for personvernfunksjoner.
Gjennom å undersøke hvordan appen fungerer, oppdaget Young at Canopy-systemet ikke klarer å sanitere brukerinnganger som fører til skripting på tvers av nettsteder, noe som gjør det mulig for angriperne å bygge inn en angrepsmengde i en unntaksforespørsel.
“Selv om det kan være mange forskjellige måter en smart gutt kan misbruke dette sårbarheten på, er det mest åpenbare å automatisk godkjenne en forespørsel. Inndatafeltet syntes ikke å ha noen desinfisering og tillot 50 tegn som var nok til å skaffe en ekstern manus, “forklarte Young i rapporten.
“Min første test var en nyttelast for å automatisk klikke for å godkjenne den innkommende forespørselen. Dette fungerte bra, og jeg fikk raskt en ny nyttelast til å automatisk stoppe overvåkingsbeskyttelsen. På dette tidspunktet kunne barnet som bruker den beskyttede enheten injisere vilkårlig JavaScript i en godkjent forelder økten. Dette kan være nyttig for en rekke barn-til-forelder-angrep, inkludert å lage en selvgodkjennende unntaksforespørsel eller en forespørsel som automatisk deaktiverer overvåkingsprogramvaren når den vises. Dette er ille, men det kan være verre. ”
Young la merke til at denne typen utnyttelse er “støyende”, noe som betyr at en forelder må samhandle med den ondsinnede forespørselen og kan gjenkjenne angrepet som pågår.
VTech -hack: Fire avgjørende takeaways for hver forelder og daglig leder
Hackingen var et katastrofalt tap av data for foreldre og barn.
Les mer
Videre undersøkelse av Canopy -appen viste at systemet kunne lures ved å kombinere doble og enkle anførselstegn. Med det kan noen sende inn en unntaksforespørsel som tar kontroll over Canopy -appen når forelder ganske enkelt logger inn for å sjekke om de overvåkte enhetene.
“Denne situasjonen lover ikke godt for foreldrekontrollsystemet Canopy, men samtidig lurer du kanskje på om dette virkelig er en stor sak. Tross alt vil de fleste barna som blir overvåket med dette systemet ikke ha anelse om XSS eller ha tilgang til en foreldrekonsoll for å utvikle en nyttelast, “skrev Young.
“Dessverre er angrepsflaten for dette sikkerhetsproblemet ganske mye mer omfattende enn det som ble diskutert tidligere med forklaringstekst for forespørsel. Fordi dette angrepet innebærer at en utformet nettadresse blir blokkert, blir det mulig for angrep å komme fra helt eksterne tredjepartskilder. Alle som kan få et barn til å bruke den beskyttede enheten til å klikke på en lenke, kan nå potensielt angripe foreldrenes overvåking av denne kontoen. ”
Et barn trenger bare å bli overbevist om å klikke på en forespørselstilgangsknapp når nettadressen er lastet inn, men Young sa at den skremmende delen er at Canopy API-designet “til og med vil tillate den eksterne angriperen å plante en skriptbelastning på tvers av nettsteder på en overordnet konto ved å gjette overordnet konto -ID. “
På grunn av den relativt korte lengden på konto -ID -er, kunne angriperne teoretisk sett seile angrepets nyttelast på hver enkelt overordnede konto ved ganske enkelt å sende ut en unntaksforespørsel for hver ID -verdi i rekkefølge, ifølge Young.
“Den eksterne angriperen kan bruke dette til å omdirigere forelder til annonser, bedrifter eller annet ondsinnet innhold. Alternativt kan en angriper plante en nyttelast for å kapre tilgang til foreldrekontrollappen og trekke GPS -koordinater fra beskyttede enheter på kontoen, “sa Young.
“Fra mitt perspektiv er dette en ganske grunnleggende fiasko for en app som annonserer at den kan holde barna trygge på nettet.”
En rekke cybersikkerhetseksperter fortalte ZDNet at denne typen feil er tilstede på et stort antall tjenester.
Oliver Tavakoli, CTO i Vectra, sa at utviklerne av Canopy -tjenesten ser ut til å mangle forståelse for hvordan sikre en tjeneste mot ondsinnede aktører, og legger til at ved å ikke rense inndatafelt eller data (for eksempel nettadresser) mottatt fra internett “er det å mislykkes sikkerhet 101.”
Tavakoli sa at denne feilen er noe vanskeligere å utnytte fordi den krever å lokke et barn til å klikke på en lenke for å levere en nyttelast til et foreldresystem.
Andre sa at sårbarheten var et annet eksempel på hvorfor “Injeksjon” -feil har vært i OWASP Topp 10 i mer enn et tiår.
Ray Kelly, hovedsikkerhetsingeniør ved NTT Application Security, sa at utviklere fortsatt er uforsiktige når de aksepterer upålitelige og ufiltrerte innspill fra brukere.
“Å godta ufiltrert innspill kan føre til sårbarhet over skripting på tvers av nettsteder som kan skape en rekke problemer. Dette inkluderer å stjele informasjonskapsler for brukersessioner, omdirigere til et ondsinnet nettsted eller bygge inn en keylogger,” sa Kelly.
“Dette demonstrerer også hvorfor sikkerhetstesting av alle innganger i en webapplikasjon er så viktig og hvordan den kan nå til mobile enheter, noe som drastisk øker angrepsflaten.”
På spørsmål om hvordan Canopy kan fikse problemet, sa Young at Canopy må rense alle verdier fra brukeren.
“Jeg vil også anbefale Canopy å opprette en sikkerhetsrapporteringspolicy og retningslinjer for hvordan forskere på en ansvarlig måte kan undersøke systemene sine og dele tekniske tilbakemeldinger,” la Young til.
Sikkerhet
Fortinet, Shopify rapporterer problemer etter at rot -CA -sertifikatet fra Lets Encrypt utløper Ransomware -gjengene klager over at andre skurker stjeler løsepengene sine Bandwidth CEO bekrefter avbrudd forårsaket av DDoS -angrep Disse systemer møter milliarder av angrep hver måned når hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersikkerhet Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen
Relaterte emner:
Datahåndteringssikkerhet TV CXO datasentre 