Popüler bir Android ebeveyn kontrolü uygulaması, çocukların ebeveyn kontrollerini atlamasına ve aktörleri kötü amaçlı yazılım yüklemesine veya kusurlu cihazlardan hassas verileri çalmasına izin veren birden fazla güvenlik açığı taşıyordu.
Söz konusu uygulamanın adı Kiddowares adlı bir şirket tarafından geliştirilen Ebeveyn Denetimi – Kids Place. Google Play’de beş milyondan fazla indirilmiştir ve izleme ve coğrafi konum belirlemeden internet kısıtlamaları ve ödeme kısıtlamalarına kadar her türlü ebeveyn kontrolü özelliğini sunar. Ebeveynler, çocuklarının cihazda nasıl zaman geçirdiklerini de izleyebilir ve kötü amaçlı içeriklerden korunmalarını sağlayabilir.
Bulgular, siber güvenlik araştırmacıları SEC Consult tarafından hazırlanan ve kullanıcıları uygulamaları hemen en son sürüme güncellemeye çağıran bir raporda özetlendi.
Kötü amaçlı yazılım dağıtma
Şimdi, SEC Consult’un araştırmacıları 3.8.49 ve daha eski sürümlerin beş kusura karşı savunmasız olduğunu buldu.
İlki, tehdit aktörlerinin kullanıcı kaydını ve oturum açma verilerini ele geçirmesine ve şifresini çözmesine izin verir, bu da oturum açma kimlik bilgileri gibi hassas bilgileri elde edebilecekleri anlamına gelir.
CVE-2023-29079 olarak izlenen ikincisi, siteler arası komut dosyası çalıştırma saldırılarına izin verir ve bu saldırılar, tehdit aktörlerinin ebeveynlerin kontrol paneline kötü amaçlı komut dosyaları enjekte etmek için kullanabilir. CVE-2023-29078 olarak izlenen üçüncüsü, bir siteler arası istek sahteciliği (CSRF) kusuru, dördüncüsü ise saldırganların çocuğun cihazına 10 MB’a kadar dosya göndermesine izin veriyor.
Bu dosya, taranmadıkları ve kötü amaçlı yazılım içerebilecekleri bir AWS S3 klasörüne yüklendiğinden özellikle tehlikelidir. CVE_2023-28153 olarak izlenen beşincisi, çocukların (veya tehdit aktörlerinin) tüm kullanım kısıtlamalarını geçici olarak kaldırmasına izin verir. Kontrol panelinde manuel olarak kontrol etmedikçe, ebeveynler bu değişikliğin meydana geldiğini bilmeyecektir.
Araştırmacılar, 3.8.50’den önceki tüm sürümlerin savunmasız olduğunu söylediler ve kullanıcıları hemen güncellemeye çağırdılar. Yama 14 Şubat 2023’te yayınlandı.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)