Interpult Studio

Согласно недавно опубликованному исследованию, популярные приложения для общения в детских садах и по уходу за детьми «опасно небезопасны», подвергая детей и родителей риску утечки данных из-за нестрогих настроек безопасности и разрешительных или откровенно вводящих в заблуждение политик конфиденциальности.

Подробности взяты из нового отчета Electronic Frontier Foundation (EFF), который опубликовал результаты многомесячного исследовательского проекта во вторник.

Исследование, проведенное Алексис Хэнкок, техническим директором EFF по Сертбот Project обнаружил, что в популярных приложениях, таких как Brightwheel, HiMama и Tadpoles, отсутствует двухфакторная аутентификация (2FA), а это означает, что любой злоумышленник, получивший пароль пользователя, может войти в систему удаленно. Дальнейший анализ кода приложения выявил ряд других функций, нарушающих конфиденциальность, включая обмен данными с Facebook и другими третьими сторонами, которые не были раскрыты в политиках конфиденциальности.

После того, как с EFF связались, Brightwheel внедрил 2FA и утверждает, что «первый в индустрии раннего образования, который добавил этот дополнительный уровень безопасности». Сообщается, что HiMama заявила, что передаст запрос функции своей команде разработчиков, но еще не реализовала дополнительную функцию безопасности. Неизвестно, намерены ли Tadpoles внедрить 2FA.

Анализ сетевого трафика показывает, что приложение Tadpoles отправляет данные о пользовательских событиях в Facebook.
Изображение: ЭФФ

Хэнкок начала исследовать настройки конфиденциальности и безопасности различных приложений для детских садов после того, как ее попросили загрузить Brightwheel, когда она впервые записывала свою двухлетнюю дочь в детский сад. Хэнкок сказал Грань что изначально ей нравилось использовать приложение для получения обновлений о своей дочери, но она была обеспокоена отсутствием безопасности, учитывая потенциально конфиденциальный характер информации.

«Сначала было очень утешительно видеть [my daughter] в течение дня с изображениями, которые они мне присылали», — сказал Хэнкок. «Тогда я посмотрел на приложение, как будто я действительно не вижу элементов управления безопасностью, которые обычно встречаются в большинстве подобных сервисов».

Имея опыт разработки программного обеспечения, Хэнкок мог использовать ряд инструментов, таких как Апктул а также митпрокси проанализировать код приложения и исследовать сетевые вызовы, сделанные каждым из приложений по уходу за детьми, и она была удивлена, обнаружив ряд легко исправимых ошибок.

«Я нашел трекеры в нескольких приложениях. Я обнаружил слабую политику безопасности, слабую политику паролей», — сказал Хэнкок. «Я обнаружил уязвимости, которые было очень легко исправить, просматривая некоторые приложения. На самом деле просто низко висящие плоды».

Новый отчет EFF — не первый, обращающий внимание на серьезные недостатки в приложениях, которым доверяют для обеспечения безопасности детей. В течение многих лет исследователи выражали обеспокоенность по поводу уязвимостей в безопасности приложений для радионяни и связанного с ними оборудования, при этом некоторые из этих уязвимостей использовались хакерами для отправлять сообщения детям. В более широком смысле исследование 1000 приложений, которые, вероятно, будут использовать дети, показало, что более двух третей отправляли личную информацию в рекламную индустрию

Хэнкок надеется, что сообщение об этих недостатках конфиденциальности и безопасности может привести к более эффективному регулированию приложений, ориентированных на детей, но, тем не менее, результаты ее беспокоят.

«Это заставило меня, как родителя, почувствовать еще больший страх за своего ребенка», — сказала она. «Я не хочу, чтобы у нее была утечка данных, пока ей не исполнится пять. Я делаю все, что в моих силах, чтобы этого не произошло».

https://www.theverge.com/2022/6/21/23177265/daycare-apps-dangerously-insecure-eff-brightwheel-tadpole-himama

READ  Для Apple WWDC 2022 посвящен дополненной реальности

от admin