Aplicação de controlo parental identificada com várias falhas de segurança

Aplicação de controlo parental identificada com várias falhas de segurança

As aplicações de controlo parental ainda são usadas atualmente como forma de evitar usos abusivos dos dispositivos de menores nos mais variados formatos. Tendo em conta que os conteúdos destas apps são, muitas vezes, associados com dispositivos usados por menores, a privacidade e segurança são dois pontos a ter em conta.

E para quem use a aplicação da Kiddowares, “Kids Place”, talvez seja melhor ter em atenção este ponto. Recentemente foram identificadas várias vulnerabilidades sobre esta aplicação, que podem permitir aos atacantes realizarem várias ações nos dispositivos das vítimas, incluindo de roubar dados sensíveis que podem pertencer aos menores.

“Kids Place” conta atualmente com mais de 5 milhões de downloads da Google Play Store, oferecendo uma forma dos pais controlarem os filhos e as suas atividades nos dispositivos móveis. Trata-se de uma aplicação de controlo parental bastante usada no mercado, tendo em conta as funcionalidades que oferece.

No entanto, investigadores da empresa SEC Consult revelaram recentemente ter identificado um conjunto de falhas sobre a aplicação, que pode levar aos mais variados géneros de ataques. A versão 3.8.49 e mais antigas contam com graves falhas que, se exploradas, podem permitir realizar diversas atividades nos dispositivos das vítimas.

Para começar, os dados de login enviados pela aplicação encontram-se encriptados apenas em formato MD5, que atualmente não é considerado seguro e pode ser rapidamente contornado. Cada vez que os utilizadores realizam o login na app, estes dados são enviados de forma insegura, e podem ser obtidos por terceiros.

Alem disso, existem ainda várias falhas que permitem o acesso ao painel de controlo, que normalmente apenas deveria ser acessível pelos pais. Estas falhas podem ser exploradas não apenas para o acesso, mas também para injetar scripts potencialmente maliciosos.

Existem ainda falhas que permitem enviar ficheiros para os dispositivos dos menores, sem controlo.

Todas estas falhas foram corrigidas com a versão mais recente 3.8.50, sendo que é recomendado para todos os utilizadores desta aplicação realizarem a atualização o quanto antes, sobretudo nos dispositivos focados para os menores.

Apesar de se desconhecerem casos onde estas falhas tenham sido ativamente exploradas, a informação das mesmas encontra-se agora pública, e pode ser usada para começar ataques direcionados para quem se encontre em versões antigas.

De notar que a versão 3.8.50 foi lançada a 14 de Fevereiro de 2023, depois das falhas terem sido identificadas e reportadas pelos investigadores a 23 de Novembro de 2022.