Изследователят открива уязвимост в популярното приложение за родителски контрол Canopy

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Изследовател от фирмата за киберсигурност Tripwire има открит уязвимост в приложението Canopy за родителски контрол, което позволява на нападателите да поставят JavaScript в родителския портал и да получат достъп до всички функции, които родителят би имал с устройството на детето си.

Главният изследовател по сигурността на Tripwire Крейг Йънг каза пред ZDNet, че Canopy е бил рекламиран пред него в училището на детето му, което го подтикнало да разгледа функциите за киберсигурност на приложението.

“Имах интерес да науча повече за това как се прилага софтуерът за родителски контрол и какви, ако има, рискове, които може да създаде за семействата. Открих тези уязвимости, като умишлено проучих как системата обработва специални символи в исканията за родителски контрол”, каза Йънг.

„Училището на моите деца изпрати домашни реклами за Canopy и затова си помислих, че би било добра услуга, за да науча повече за това. След като се регистрирах за безплатен пробен период, за да видя какво предлага услугата, тествах какво ще се случи, ако родителят на едно дете имаше специални знаци в съобщението си за заявка. Беше очевидно, че Canopy не филтрира въведените от потребителя данни. ”

Оттам той разследва допълнително и осъзнава, че URL адресът в заявка за родителски контрол също не се филтрира правилно. Той откри, че напълно външен потребител може да инжектира този XSS само с една неизвестна цифрова стойност на ID, което позволява на нападателя да добави JavaScript код към родителския портал за всеки акаунт в Canopy.

След това JavaScript може да се използва за извършване на всичко – от извличане на криптовалути до браузър експлоатации, насочени към родителите. JavaScript може да се използва и за експортиране на данни за клиентските акаунти, включително данни за местоположението от наблюдавани устройства. Изхвърлянето на данни може да бъде продадено за различни нежелани цели, добави Йънг.

Нападателят ще има пълен достъп до родителския портал и всички функции, които родителят има за наблюдение и контрол на детски устройства, а Йънг каза, че изглежда, че нападателят би могъл да направи това масово с всички клиенти на Canopy.

Йънг се свърза с Canopy, но заяви, че са “минимално отзивчиви”, твърдейки, че имат поправка. Но Йънг каза, че поправката не разглежда целия проблем и го прави така, че теоретичното дете вече не може да атакува родителя си с текста на обяснението. Но детето все още може да атакува акаунта на родителя, като използва адреса на блокиран уебсайт като вектор за скриптове за различни сайтове и трета страна също може да направи това, каза Йънг.

Те не са отговорили на последното му разпространение, като им е дало да разберат това. Canopy също не отговори на искания за коментар от ZDNet.

Canopy предлага множество услуги, включително многоплатформено приложение за родителски контрол, което позволява на родителите да наблюдават и ограничават начина, по който децата им използват устройство. Canopy работи като абонаментни услуги, изискващи месечни плащания.

Много от функциите, предлагани от услугата, предполагат, че приложението има привилегирован достъп до защитеното устройство и прихваща TLS връзки за филтриране на съдържание.

Йънг обясни, че този привилегирован достъп може да създаде значителен риск за сигурността на защитените устройства и поверителността на децата, които използват тези устройства.

Той отбеляза, че Canopy реализира VPN връзка и използва някаква форма на AI на устройството за функции за поверителност.

Чрез изследване как функционира приложението, Йънг открива, че системата Canopy не успява да дезинфекцира въведените от потребителите данни, водещи до скриптове за различни сайтове, което позволява на нападателите да вграждат полезен товар за атака в заявка за изключение.

„Въпреки че може да има широк спектър от начини, по които едно умно дете може да злоупотреби с тази уязвимост, най -очевидният би бил автоматичното одобряване на заявка. Полето за въвеждане изглежда не е имало никаква дезинфекция и позволява 50 знака, което е достатъчно за източник на външен източник сценарий “, обяснява Йънг в доклада си.

“Първият ми тест беше полезен товар за автоматично щракване, за да се одобри входящата заявка. Това работи добре и бързо накарах друг полезен товар, който автоматично да прекъсва защитата за наблюдение. В този момент детето, използващо защитеното устройство, може да инжектира произволен JavaScript в удостоверен родител сесия. Това може да бъде полезно за различни атаки от дете към родител, включително отправяне на самоодобряваща се заявка за изключение или заявка, която автоматично деактивира софтуера за наблюдение при гледане. Това е лошо, но може да бъде и по-лошо. ”

Йънг отбеляза, че този вид експлоатация е „шумен“, което означава, че родителят трябва да взаимодейства със злонамерената заявка и може да разпознае атаката в ход.

По -нататъшното проучване на приложението Canopy показа, че системата може да бъде измамена чрез комбиниране на двойни и единични кавички. С това някой може да подаде заявка за изключение, която да поеме контрола над приложението Canopy, когато родителят просто влезе, за да провери наблюдаваните устройства.

“Тази ситуация не предвещава нищо добро за системата за родителски контрол на Canopy, но в същото време може да се чудите дали това наистина е голяма работа. В края на краищата повечето деца, които се наблюдават с тази система, няма да имат представа за XSS или да имат достъп до родителска конзола за разработване на експлойт полезен товар “, пише Йънг.

“За съжаление повърхността на атаката за тази уязвимост е доста по-значителна от това, което беше обсъдено по-рано с текст за обяснение на заявката. Тъй като тази атака включва блокиран създаден URL, става възможно атаките да идват от напълно външни източници на трети страни. Всеки, който може да накара дете да използва защитеното устройство, за да кликне върху връзка, сега може потенциално да атакува родителското наблюдение на този акаунт. ”

Детето трябва само да бъде убедено да щракне върху бутона за достъп до заявка, след като URL адресът е зареден, но Йънг каза, че най-страшната част е, че дизайнът на API на Canopy ще „позволи дори на външния нападател директно да насади полезен товар от скриптове за различни сайтове. родителски акаунт, като познаете идентификатора на родителския акаунт. “

Поради относително кратката дължина на идентификационните номера на акаунта, нападателите теоретично биха могли да посеят полезния товар на атаката на всеки отделен родителски акаунт, като просто изпратят заявка за изключение на блок за всяка стойност на ID последователно, според Young.

“Външният нападател може да използва това, за да пренасочи родителя към реклами, експлоатации или друго злонамерено съдържание. Алтернативно, нападателят може да наложи полезен товар, за да отвлече достъпа до приложението за родителски контрол и да изтегли GPS координати от защитени устройства в профила”, каза Йънг .

„От моя гледна точка това е доста фундаментален провал за реклама на приложение, който може да предпази децата онлайн.“

Редица експерти по киберсигурност казаха пред ZDNet, че тези недостатъци присъстват в голям брой услуги.

Оливър Таваколи, главен технически директор на Vectra, заяви, че разработчиците на услугата Canopy изглежда нямат разбиране за това как да защитят услуга срещу злонамерени участници, добавяйки, че като не изчиствате полетата за въвеждане или данните (като URL адреси), получени от интернет, е неуспешна сигурност 101. ”

Tavakoli каза, че този недостатък е малко по -труден за използване, тъй като изисква принуждаване на дете да кликне върху връзка, за да достави полезен товар на родителска система.

Други казват, че уязвимостта е друг пример защо недостатъците на „инжектиране“ са в топ 10 на OWASP повече от десетилетие.

Рей Кели, главен инженер по сигурността в NTT Application Security, заяви, че разработчиците все още са небрежни, когато приемат ненадежден и нефилтриран вход от потребителите.

“Приемането на нефилтриран вход може да доведе до уязвимост от скриптове на различни сайтове, което може да създаде широк спектър от проблеми. Това включва кражба на бисквитки на потребителска сесия, пренасочване към злонамерен уебсайт или вграждане на кейлогър”, каза Кели.

“Това също показва защо тестването на сигурността на всички входове в уеб приложение е толкова важно и как може да достигне до мобилни устройства, като драстично увеличава повърхността на атаката ви.”

На въпроса как Canopy може да реши проблема, Йънг отговори, че Canopy трябва да дезинфекцира всички стойности, въведени от потребителя.

„Също така бих препоръчал на Canopy да установи политика и насоки за отчитане на сигурността за това как изследователите могат отговорно да изследват своите системи и да споделят техническа обратна връзка“, добави Йънг.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •