En forskare med cybersäkerhetsföretaget Tripwire har upptäckt en sårbarhet i föräldrakontrollappen Canopy som gör att angripare kan plantera JavaScript i föräldraportalen och få tillgång till alla funktioner som en förälder skulle ha med sitt barns enhet .
Tripwires säkerhetsforskare Craig Young berättade för ZDNet att Canopy hade annonserats för honom genom hans barns skola, vilket fick honom att titta igenom appens cybersäkerhetsfunktioner.
“Jag hade ett intresse av att lära mig mer om hur programvara för föräldrakontroll implementeras och vilka eventuella risker det kan innebära för familjer. Jag upptäckte dessa sårbarheter genom att avsiktligt undersöka hur systemet bearbetar specialtecken hos föräldrar. kontrollförfrågningar, säger Young.
“Mina barns skola skickade hem annonser för Canopy och så tänkte jag att det skulle vara en bra tjänst att lära sig mer om. Efter att ha registrerat mig för en gratis provperiod för att se vad tjänsten har att erbjuda testade jag vad som skulle hända om föräldern till ett barn hade specialtecken i deras begäran. Det var uppenbart att Canopy inte filtrerar användarinmatningen. ”
Därifrån undersökte han vidare och insåg att webbadressen i en föräldrakontrollbegäran inte heller filtrerades korrekt. Han fann att en helt extern användare kan injicera denna XSS med endast ett okänt numeriskt ID -värde, så att en angripare kan lägga till JavaScript -kod till överordnad portal för varje Canopy -konto.
JavaScript kan sedan användas för att göra allt från kryptovaluta -gruvdrift till webbläsarexperter som riktar sig till föräldrar. JavaScript kan också användas för att exportera data om kundkonton inklusive platsdata från övervakade enheter. Datadumpen kan säljas för en mängd olika ovälkomna ändamål, tillade Young.
En angripare skulle ha full åtkomst till föräldraportalen och alla funktioner som en förälder har för övervakning och kontroll av barnenheter, och Young sa att det ser ut som om en angripare skulle kunna göra detta i massor för alla kunder i Kapell.
Young kontaktade Canopy men sa att de var “minimalt lyhörda” och påstod att de hade en åtgärd. Men Young sa att åtgärden inte tar upp hela problemet och bara gör det så att ett teoretiskt barn inte längre kan attackera sin förälder med förklaringstexten. Men barnet kan fortfarande attackera föräldrakontot med adressen till en blockerad webbplats som cross -site scriptingvektor och en tredje part kan också göra detta, sa Young.
De har inte svarat på hans senaste uppsökning för att låta dem veta detta. Canopy svarade inte heller på begäran om kommentar från ZDNet.
Canopy erbjuder en mängd tjänster, inklusive en föräldrakontrollapp med flera plattformar som gör att föräldrar kan övervaka och begränsa hur deras barn använder en enhet. Canopy fungerar som prenumerationstjänster och kräver månatliga betalningar.
Många av de funktioner som erbjuds av tjänsten innebär att appen ges privilegierad åtkomst till den skyddade enheten och avlyssnar TLS -anslutningar för att filtrera innehåll.
Young förklarade att denna privilegierade åtkomst kan medföra avsevärda risker för säkerheten för skyddade enheter och integriteten för barn som använder dessa enheter.
Han noterade att Canopy implementerar en VPN -anslutning och använder någon form av AI på enheten för sekretessfunktioner.
Genom att undersöka hur appen fungerar upptäckte Young att Canopy-systemet misslyckas med att sanera användarinmatningar som leder till skript över flera platser, vilket gör det möjligt för angripare att bädda in en attacknyttolast inom en undantagsbegäran.
“Även om det kan finnas ett stort antal olika sätt som en smart unge kan missbruka denna sårbarhet, skulle det mest självklara vara att automatiskt godkänna en begäran. Inmatningsfältet tycktes inte ha någon sanering och tillät 50 tecken vilket var mycket att källa till en extern manus, “förklarade Young i sin rapport.
“Mitt första test var en nyttolast för att automatiskt klicka för att godkänna den inkommande begäran. Detta fungerade bra och jag fick snabbt en annan nyttolast som fungerade för att automatiskt pausa övervakningsskyddet. Vid det här laget kan barnet som använder den skyddade enheten injicera godtycklig JavaScript i en autentiserad förälder session. Detta kan vara användbart för en mängd olika barn-till-förälder-attacker, inklusive att göra en självgodkännande undantagsbegäran eller en begäran som automatiskt inaktiverar övervakningsprogramvaran när den visas. Det är dåligt, men det kan vara värre. ”
Young noterade att denna typ av exploatering är “bullrig”, vilket innebär att en förälder måste interagera med den skadliga begäran och kan känna igen den pågående attacken.
VTech -hack: Fyra avgörande takeaways för varje förälder och VD
Hacket var en katastrofal förlust av data för föräldrar och barn.
Läs mer
Ytterligare undersökning av Canopy -appen visade att systemet kunde luras genom att kombinera dubbla och enkla citat. Med det kan någon skicka in en undantagsbegäran som tar kontroll över Canopy -appen när föräldern helt enkelt loggar in för att kontrollera de övervakade enheterna.
“Den här situationen lovar inte gott för Canopy -föräldrakontrollsystemet, men samtidigt kan du undra om det här verkligen är en stor grej. När allt kommer omkring kommer de flesta barn som övervakas med detta system inte att ha en ledtråd om XSS eller ha tillgång till en föräldrakonsol för att utveckla en nyttolast, “skrev Young.
“Tyvärr är attackytan för denna sårbarhet ganska mycket mer omfattande än vad som diskuterades tidigare med förklaringstext. Eftersom denna attack innebär att en skapad URL blockeras, blir det möjligt att attacker kommer från helt externa tredjepartskällor. Alla som kan få ett barn att använda den skyddade enheten för att klicka på en länk kan nu potentiellt attackera förälderns övervakning av detta konto. ”
Ett barn behöver bara övertygas om att klicka på en begärningsknapp när URL: en har laddats, men Young sa att den läskigaste delen är att Canopy API-designen ”till och med tillåter den externa angriparen att direkt plantera en skriptbelastning på flera sidor på webbplatsen ett föräldrakonto genom att gissa moder -konto -id: t. “
På grund av den relativt korta längden på konto -ID: n kunde angripare teoretiskt sätta attackens nyttolast på varje enskilt föräldrakonto genom att helt enkelt utfärda en gruppundantagsbegäran för varje ID -värde i följd, enligt Young.
“Den externa angriparen kan använda detta för att omdirigera föräldern till annonser, exploater eller annat skadligt innehåll. Alternativt kan en angripare plantera en nyttolast för att kapa åtkomst till föräldrakontrollappen och dra GPS -koordinater från skyddade enheter på kontot, sa Young.
“Ur mitt perspektiv är detta ett ganska grundläggande misslyckande för en app som annonserar att det kan skydda barn online.”
Ett antal cybersäkerhetsexperter berättade för ZDNet att dessa typer av brister finns på ett stort antal tjänster.
Oliver Tavakoli, CTO på Vectra, sa att utvecklarna av Canopy -tjänsten verkar sakna förståelse för hur man säkra en tjänst mot skadliga aktörer, och tillägger att genom att inte rensa inmatningsfält eller data (t.ex. webbadresser) som tas emot från internet “är det att misslyckas med säkerhet 101.”
Tavakoli sa att just denna brist är något svårare att utnyttja eftersom det kräver att man lockar ett barn att klicka på en länk för att leverera en nyttolast till ett föräldersystem.
Andra sa att sårbarheten var ett annat exempel på varför “Injektions” brister har funnits i OWASP Topp 10 i mer än ett decennium.
Ray Kelly, säkerhetsingenjör på NTT Application Security, säger att utvecklare fortfarande är slarviga när de accepterar opålitliga och ofiltrerade inmatningar från användare.
“Att acceptera ofiltrerad inmatning kan leda till en sårbarhet över flera webbplatser som kan skapa många problem. Detta inkluderar att stjäla en användarsession-cookies, omdirigera till en skadlig webbplats eller bädda in en keylogger”, säger Kelly.
“Detta visar också varför säkerhetstestning av alla ingångar i en webbapplikation är så viktig och hur den kan nå till mobila enheter, vilket drastiskt ökar din attackyta.”
På frågan hur Canopy kan lösa problemet, sade Young att Canopy måste sanera alla användarinmatningsvärden.
“Jag skulle också rekommendera Canopy att upprätta en säkerhetsrapporteringspolicy och riktlinjer för hur forskare på ett ansvarsfullt sätt kan undersöka sina system och dela teknisk feedback”, tillade Young.
Säkerhet
Fortinet, Shopify rapporterar problem efter root -CA -certifikat från Lets Encrypt går ut Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth CEO bekräftar avbrott orsakade av DDoS -attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Data Management Security TV CXO-datacenter 