Yeni yayınlanan araştırmaya göre, popüler kreş ve çocuk bakımı iletişim uygulamaları “tehlikeli derecede güvensiz” ve çocukları ve ebeveynleri gevşek güvenlik ayarları ve izin verilen veya tamamen yanıltıcı gizlilik politikalarıyla veri ihlali riskine maruz bırakıyor.
Ayrıntılar, Electronic Frontier Foundation’ın (EFF) yeni bir raporundan geliyor. aylarca süren bir araştırma projesinin sonuçlarını yayınladı Salı günü.
Araştırma, EFF’nin mühendislik direktörü Alexis Hancock tarafından yürütüldü. sertifika robotu projesi, Brightwheel, HiMama ve Tadpoles gibi popüler uygulamaların iki faktörlü kimlik doğrulamadan (2FA) yoksun olduğunu, yani bir kullanıcının şifresini alabilen herhangi bir kötü niyetli aktörün uzaktan giriş yapabileceğini buldu. Uygulama kodunun daha fazla analizi, Facebook ve diğer üçüncü taraflarla veri paylaşımı da dahil olmak üzere gizlilik politikalarında açıklanmayan bir dizi başka gizlilikten ödün veren özelliği ortaya çıkardı.
EFF ile iletişime geçildikten sonra, Brightwheel 2FA’yı uyguladı ve olduğunu iddia ediyor “Erken eğitim sektöründe bu ekstra güvenlik katmanını ekleyen ilk şirket.” HiMama’nın, özellik talebini tasarım ekibine ileteceğini ancak ek güvenlik özelliğini henüz uygulamadığını söylediği bildirildi. Tadpoles’ın 2FA’yı uygulamaya niyetli olup olmadığı bilinmiyor.
Hancock, iki yaşındaki kızını ilk kez kreşe kaydettirirken Brightwheel’i indirmesi istendikten sonra çeşitli kreş uygulamalarının gizlilik ve güvenlik ayarlarını araştırmaya başladı. Hancock anlattı Sınır başlangıçta kızıyla ilgili güncellemeleri almak için uygulamayı kullanmaktan keyif aldığını, ancak bilgilerin hassas olma potansiyeline sahip olması nedeniyle güvenlik eksikliğinden endişe duyduğunu söyledi.
“Başlangıçta görmekte çok fazla rahatlık vardı. [my daughter] gün içinde bana gönderdikleri görüntülerle birlikte” dedi Hancock. “Ardından uygulamaya şöyle bakıyordum, ha, normalde bunun gibi çoğu hizmette göreceğim güvenlik kontrollerini gerçekten görmüyorum.”
Yazılım geliştirmede bir geçmişe sahip olan Hancock, aşağıdakiler gibi bir dizi aracı kullanabildi: Apktool ve mitmproxy uygulama kodunu analiz etmek ve çocuk bakımı uygulamalarının her biri tarafından yapılan ağ aramalarını araştırmak için çalıştı ve bir dizi kolayca düzeltilebilir hata bulması onu şaşırttı.
“Birkaç uygulamada izleyici buldum. Zayıf güvenlik politikası, zayıf parola politikaları buldum” dedi Hancock. “Bazı uygulamaları incelerken düzeltilmesi çok kolay güvenlik açıkları buldum. Gerçekten sadece düşük asılı meyve. ”
EFF’nin yeni raporu, çocukları güvende tutmak için güvenilen uygulamalardaki ciddi kusurlara dikkat çeken ilk rapor değil. Yıllardır araştırmacılar, bebek izleme uygulamaları ve ilgili donanımlardaki güvenlik zayıflıkları konusunda endişelerini dile getirdiler ve bu zayıflıklardan bazıları bilgisayar korsanları tarafından istismar edildi. çocuklara mesaj gönder. Daha genel olarak, çocuklar tarafından kullanılması muhtemel 1.000 uygulama üzerinde yapılan bir anket, üçte ikisinden fazlasının reklam endüstrisine kişisel bilgiler gönderiyordu
Hancock, bu gizlilik ve güvenlik kusurlarını bildirmenin çocuk odaklı uygulamaların daha iyi düzenlenmesine yol açabileceğini umuyor – ancak yine de bulgular onu endişelendirdi.
“Bir ebeveyn olarak çocuğum için daha çok korkmamı sağladı” dedi. “Beş yaşına gelmeden veri ihlali yaşamasını istemiyorum. Bunun olmaması için elimden geleni yapıyorum.”