家長控制軟體出包　可輕易繞過限制易受攻擊

編譯／鄭智懷

資安業者SEC Consult近期發現，在Google Play上高達500萬次下載量的家長控制軟體Kids Place竟有高達五個安全漏洞，不僅可以讓被監控的小孩輕鬆繞過諸項限制，同時還讓攻擊者能隨意傳送各式檔案、盜取其設備資料。

SEC Consult表示，包含Kids Place 3.8.49版，以及更之前的版本都會具有上述問題。五個安全漏洞分別為加密過時、下載設定問題，以及CVE-2023-29079、CVE-2023-29078與CVE-2023-28153等。

SEC Consult指出，Kids Place保護用戶登入帳號密碼過程所採用的加密機制為過時的MD5雜湊（Hash）演算法，且未使用在雜湊中加入亂碼，俗稱加鹽（Salting）之技術，因此可迅速透過暴力破解解密。

其次，Kids Place的下載設定使攻擊者可以利用程式功能，將上傳至雲端的惡意程式透過網址的傳輸，直接傳送至目標的行動裝置且不會被掃描。

至於在CVE-2023-29079、CVE-2023-29078與CVE-2023-28153N0三個安全漏洞方面，CVE-2023-29079可以讓攻擊者使用小孩設定的名稱執行跨站腳本（XSS）攻擊，操縱家長的程式並達到未授權訪問之目的；CVE-2023-29078讓攻擊者只要獲取設備IP，就能到用用戶身分發動跨站請求偽造（CSRF）攻擊；CVE-2023-28153N0使小孩可以暫時性刪除所有限制，使用任何原先不被家長允許的功能且不會通知家長。除非家長手動檢查，否則不會察覺小孩曾經破解限制功能。

SEC Consult在2022年11月底即發現Kids Place的五個安全問題且通報該程式開發商Kiddoware。2023年2月14日，開發商推出Kids Place 3.8.50，以解決上述所有缺陷。

資料來源：BleepingComputer

瀏覽 535 次