Een onderzoeker van cyberbeveiligingsbedrijf Tripwire heeft een kwetsbaarheid ontdekt in de app Canopy voor ouderlijk toezicht waarmee aanvallers JavaScript in het ouderportaal kunnen plaatsen en toegang krijgen tot alle functies die een ouder zou hebben met het apparaat van hun kind .
Craig Young, hoofdbeveiligingsonderzoeker van Tripwire, vertelde ZDNet dat er via de school van zijn kind reclame was gemaakt voor Canopy, wat hem ertoe aanzette de cyberbeveiligingsfuncties van de app te bekijken.
“Ik wilde graag meer weten over hoe software voor ouderlijk toezicht wordt geïmplementeerd en welke risico's het kan opleveren voor gezinnen. Ik ontdekte deze kwetsbaarheden door opzettelijk te onderzoeken hoe het systeem speciale tekens in ouderlijk toezicht verwerkt. controleverzoeken,” zei Young.
“De school van mijn kinderen stuurde advertenties voor Canopy naar huis en daarom dacht ik dat het een goede service zou zijn om meer over te weten te komen. Nadat ik me had aangemeld voor een gratis proefperiode om te zien wat de service te bieden heeft, heb ik getest wat er zou gebeuren als de ouder van een kind had speciale tekens in hun verzoekbericht. Het was duidelijk dat Canopy de gebruikersinvoer niet filtert.”
Van daaruit onderzocht hij verder en realiseerde hij zich dat de URL in een verzoek om ouderlijk toezicht ook niet goed werd gefilterd. Hij ontdekte dat een volledig externe gebruiker deze XSS kan injecteren met slechts een enkele onbekende numerieke ID-waarde, waardoor een aanvaller JavaScript-code kan toevoegen aan de ouderportal voor elk Canopy-account.
Het JavaScript kan dan worden gebruikt om van alles te doen, van cryptocurrency-mining tot browserexploits gericht op ouders. Het JavaScript kan ook worden gebruikt om gegevens over de klantaccounts te exporteren, inclusief locatiegegevens van bewaakte apparaten. De datadump kan voor verschillende ongewenste doeleinden worden verkocht, voegde Young eraan toe.
Een aanvaller zou volledige toegang hebben tot het ouderportaal en alle functies die een ouder heeft voor het bewaken en besturen van apparaten van kinderen, en Young zei dat het lijkt alsof een aanvaller dit massaal zou kunnen doen voor alle klanten van Luifel.
Young nam contact op met Canopy, maar zei dat ze “minimaal reageerden” en beweerden een oplossing te hebben. Maar Young zei dat de oplossing niet het volledige probleem aanpakt en er alleen voor zorgt dat een theoretisch kind zijn ouder niet langer kan aanvallen met de uitlegtekst. Maar het kind kan het ouderaccount nog steeds aanvallen met het adres van een geblokkeerde website als cross-site scriptingvector en een derde partij zou dit ook kunnen doen, zei Young.
Ze hebben niet gereageerd op zijn laatste bericht om hen dit te laten weten. Canopy reageerde ook niet op verzoeken om commentaar van ZDNet.
Canopy biedt een groot aantal diensten, waaronder een app voor ouderlijk toezicht op meerdere platforms waarmee ouders kunnen controleren en beperken hoe hun kinderen een apparaat gebruiken. Canopy werkt als een abonnementsservice, waarvoor maandelijkse betalingen nodig zijn.
Veel van de functies die door de service worden aangeboden, houden in dat de app bevoorrechte toegang krijgt tot het beschermde apparaat en TLS-verbindingen onderschept om inhoud te filteren.
Young legde uit dat deze bevoorrechte toegang een aanzienlijk risico kan inhouden voor de veiligheid van beschermde apparaten en de privacy van de kinderen die deze apparaten gebruiken.
Hij merkte op dat Canopy een VPN-verbinding implementeert en een of andere vorm van AI op het apparaat gebruikt voor privacyfuncties.
Door te onderzoeken hoe de app werkt, ontdekte Young dat het Canopy-systeem gebruikersinvoer niet opschoont, wat leidt tot cross-site scripting, waardoor aanvallers een aanvalslading kunnen insluiten in een uitzonderingsverzoek.
“Hoewel er een groot aantal manieren zijn waarop een slim kind misbruik kan maken van deze kwetsbaarheid, zou het meest voor de hand liggend zijn om automatisch een verzoek goed te keuren. script”, legt Young uit in zijn rapport.
“Mijn eerste test was een payload om automatisch op te klikken om het inkomende verzoek goed te keuren. Dit werkte goed en ik kreeg snel een andere payload die de bewakingsbeveiliging automatisch pauzeerde. Op dit punt kon het kind dat het beschermde apparaat gebruikte willekeurig JavaScript in een geverifieerde ouder injecteren sessie. Dit kan handig zijn voor een verscheidenheid aan aanvallen van kind op ouder, waaronder het doen van een zelf-goedkeurend uitzonderingsverzoek of een verzoek dat de bewakingssoftware automatisch uitschakelt wanneer deze wordt bekeken. Dit is slecht, maar het kan nog erger.”
Young merkte op dat dit soort uitbuiting “luidruchtig” is, wat betekent dat een ouder moet reageren op het kwaadwillende verzoek en de lopende aanval kan herkennen.
VTech-hack: vier cruciale tips voor elke ouder en CEO
De hack was een catastrofaal gegevensverlies voor ouders en kinderen.
Lees meer
Nader onderzoek van de Canopy-app toonde aan dat het systeem misleid kon worden door dubbele en enkele aanhalingstekens te combineren. Daarmee kan iemand een uitzonderingsverzoek indienen dat de controle over de Canopy-app overneemt wanneer de ouder gewoon inlogt om de bewaakte apparaten te controleren.
“Deze situatie voorspelt niet veel goeds voor het Canopy-systeem voor ouderlijk toezicht, maar tegelijkertijd vraag je je misschien af of dit echt een groot probleem is. De meeste kinderen die met dit systeem worden gecontroleerd, hebben tenslotte geen idee hebben over XSS of toegang hebben tot een ouderconsole om een exploit-payload te ontwikkelen”, schreef Young.
“Helaas is het aanvalsoppervlak voor dit beveiligingslek een stuk groter dan wat eerder werd besproken met de tekst van de uitleg van het verzoek. Omdat bij deze aanval een bewerkte URL wordt geblokkeerd, wordt het mogelijk dat aanvallen afkomstig zijn van volledig externe bronnen van derden. Iedereen die een kind via het beveiligde apparaat op een link kan laten klikken, kan nu mogelijk het toezicht van de ouder op dit account aanvallen.”
Een kind hoeft er alleen van te worden overtuigd om op een toegangsknop te klikken zodra de URL is geladen, maar Young zei dat het engste is dat het Canopy API-ontwerp “de externe aanvaller zelfs in staat zal stellen om direct een cross-site scripting-payload op een ouderaccount door de ID van het ouderaccount te raden.”
Vanwege de relatief korte lengte van account-ID's, zouden aanvallers theoretisch de aanvalslading op elk afzonderlijk ouderaccount kunnen zaaien door simpelweg een blokuitzonderingsverzoek in volgorde uit te geven voor elke ID-waarde, aldus Young.
“De externe aanvaller kan dit gebruiken om de ouder om te leiden naar advertenties, exploits of andere kwaadaardige inhoud. Als alternatief kan een aanvaller een payload plaatsen om de toegang tot de app voor ouderlijk toezicht te kapen en GPS-coördinaten van beveiligde apparaten te halen op de rekening,” zei Young.
“Vanuit mijn perspectief is dit een vrij fundamentele fout voor een app die reclame maakt en kinderen online veilig kan houden.”
Een aantal cybersecurity-experts vertelde ZDNet dat dit soort fouten aanwezig zijn in een groot aantal services.
Oliver Tavakoli, CTO bij Vectra, zei dat de ontwikkelaars van de Canopy-service geen idee lijken te hebben hoe ze beveilig een service tegen kwaadwillende actoren, eraan toevoegend dat door het niet opschonen van invoervelden of gegevens (zoals URL's) die van internet zijn ontvangen “Security 101 faalt”.
Tavakoli zei wel dat deze specifieke fout iets moeilijker te misbruiken is omdat het een kind moet overhalen om op een link te klikken om een payload aan een oudersysteem te leveren.
Anderen zeiden dat de kwetsbaarheid een ander voorbeeld was van waarom “Injection”-fouten staan al meer dan tien jaar in de OWASP Top 10.
Ray Kelly, hoofdbeveiligingsingenieur bij NTT Application Security, zei dat ontwikkelaars nog steeds onvoorzichtig zijn bij het accepteren van niet-vertrouwde en ongefilterde input van gebruikers.
“Het accepteren van ongefilterde invoer kan leiden tot een kwetsbaarheid voor cross-site scripting die een breed scala aan problemen kan veroorzaken. Dit omvat het stelen van cookies voor gebruikerssessies, het omleiden naar een kwaadwillende website of het insluiten van een keylogger”, zei Kelly.
“Dit toont ook aan waarom beveiligingstests van alle invoer in een webtoepassing zo belangrijk zijn en hoe deze mobiele apparaten kunnen bereiken, waardoor uw aanvalsoppervlak drastisch toeneemt.”
Op de vraag hoe Canopy kan het probleem oplossen, Young zei dat Canopy alle gebruikersinvoerwaarden moet zuiveren.
“Ik zou Canopy ook aanraden om een beleid voor beveiligingsrapportage en richtlijnen op te stellen voor hoe onderzoekers hun systemen op een verantwoorde manier kunnen onderzoeken en technische feedback kunnen delen”, voegde Young eraan toe.
Beveiliging
Fortinet, Shopify melden problemen nadat root-CA-certificaat van Lets Encrypt verloopt Ransomware-bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen als hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Data Management Security TV CXO-datacenters 