Estás leyendo la publicación: La aplicación de control parental Kiddoware hace que 5 millones de usuarios sean vulnerables
Se ha descubierto que la aplicación ” desarrollada por Kiddowares para Android tiene varias vulnerabilidades que presentan riesgos significativos.
Los atacantes pueden explotar estas vulnerabilidades para realizar diversas actividades maliciosas, incluida la carga de archivos no autorizados en dispositivos protegidos, comprometer las credenciales de los usuarios y permitir que los niños eludan las restricciones impuestas sin el conocimiento de los padres.
La aplicación Kids Place ha ganado popularidad entre los usuarios de Android, con más de 5 millones de descargas de Google Play Store.
Proporciona un conjunto completo de funciones de control parental, como capacidades de monitoreo y geolocalización, restricciones en el acceso a Internet y compras, gestión del tiempo frente a la pantalla, bloqueo de contenido dañino, acceso a dispositivos remotos y más.
En hallazgos recientes de SEC Consult Group, se descubrieron una serie de vulnerabilidades de seguridad en una aplicación de control parental llamada Kids Place.
Estas vulnerabilidades permitieron a los actores malintencionados explotar la aplicación, obtener acceso a las credenciales de inicio de sesión, enviar archivos de forma subrepticia al dispositivo de un niño e incluso instalar malware en el sistema.
De manera alarmante, estos atacantes pudieron anular todas las restricciones del dispositivo y eludir la configuración de los padres sin ser detectados.
Según BleepingComputer, los problemas de seguridad identificados en la aplicación de control parental Kids Place son los siguientes:
- Protección de contraseña débil: las contraseñas de los usuarios se almacenan como hashes MD5 sin sal, que se pueden descifrar fácilmente.
- Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS): la manipulación del nombre del dispositivo del niño permite la inyección de secuencias de comandos maliciosas, lo que otorga acceso no autorizado al panel web de los padres (CVE-2023-29079).
- Vulnerabilidad de falsificación de solicitud entre sitios (CSRF): todas las solicitudes en el panel web son susceptibles a ataques CSRF, lo que requiere el conocimiento de la identificación del dispositivo obtenida del historial del navegador (CVE-2023-29078).
- Carga de archivos arbitrarios: la función de transferencia de archivos de la aplicación se puede aprovechar para cargar cualquier archivo en un depósito de AWS S3 sin análisis antivirus, lo que podría introducir malware.
- Omitir los controles parentales: los niños pueden eliminar temporalmente las restricciones de uso sin generar una notificación a los padres, lo que dificulta su detección (CVE-2023-28153).
El Dr. Klaus Schenk, vicepresidente sénior de investigación de seguridad y amenazas de Verimatrix, enfatizó la naturaleza crítica de la ciberseguridad tanto en la arquitectura como en el diseño de servidores web y aplicaciones.
Las vulnerabilidades expuestas en la aplicación de control parental Kiddowares para Android subrayan la importancia de priorizar la ciberseguridad y adherirse a prácticas de codificación seguras durante el desarrollo.
