韩国儿童监控app当前的漏洞问题令人堪忧,安全人员警告说,这可能会导致用户账户处于危险的境地,青少年信息被泄漏等一些安全问题。
加拿大监察组公民实验室的研究人员发现了26个漏洞,以及一些智能设备的设计缺陷,今年夏天,儿童的监控应用程序在国内得以普及,儿童的监控应用程序的使用基本上是由韩国政府规定。
至少一百万名韩国民众正在使用该APP应用程序来监视他们的孩子,于此同时,他们经常使用他们的手机,以及访问网站等等。
公民实验室说它通知推广该应用程序的集团——韩国移动互联网商业协会,或者说是MOIBA,早在八月初被发现的漏洞。虽然这解决了几个问题,但是目前还不清楚到底有多少漏洞已被修复。根据由协会向Citizen Lab提供的时间表来看,至少有20个相关漏洞于昨天已经被修复,但Citizen Lab没有证实这一消息,同时MOBIA已经停止与该 组织的联系。
也许该应用程序最大的问题是:它没有对任何用户数据进行加密。这意味着如果攻击者获得了控制的网络的足够的权限,那么未成年人的姓名及其父母的姓名,未成年人的出生日期,移动设备的信息,性别,和电话号码都可以被轻易拦截。正如Citizen Lab所指出的那样,聪明的司法警官会把信息发送给自己的服务器,这不仅不是最佳做法,而且也违背了韩国的法律。
Citizen Lab声称该app应用程序正受困于不一致以及不充分的身份验证。该应用程序接受请求,甚至不需要验证发送验证的人是否拥有该帐户。这意味着,如果攻击者有用户的电话号码,他们可以检索信息,修改帐户,并禁用设备,这是需要人们提高警惕的。
MOIBA的基础设施,监视着这些app,同时也被不加密的数据传输所困扰。
“他们的服务器无法满足共同的安全标准,“,Citizen Lab 写到,“部署是基于过时的,不安全的协议,这很容易受到攻击,可能导致被拦截以及moiba的服务器假冒验证。”
Citizen Lab警告说:在所有这些漏洞的最初,应用程序背后的软件是如此的不可救药的落后,在一些情况下,两年的旧的软件,使得它更容易出现错误以及漏洞。
Citizen Lab提醒道——当结合所有的问题时,这些所有的漏洞已经是显而易见的了。
研究人员写道:“已经确定的漏洞组合可能会导致大规模的帐户处于危险境地或者服务中断。一个拥有资源来运行高容量的查询来对抗智能监控(Smart Sheriff)的攻击者,可能会暗中识别智能监控的所有用户,然后使用我们确定的系统漏洞来破坏所有用户的设备或服务本身。“
Smart Sheriff拥有将近500,000的用户,和其他几个应用程序一样,被要求履行韩国四月份通过的一个政策,要求韩国电信运营商对相关的手机监控有害的内容进行阻止和封锁。事实上,一个监管机构——韩国通信委员会(kcc)在今年五月份帮助该APP进行开发和推广,这促使主权国家围绕人权法对儿童隐私问题以及移动设备隐私问题的讨论。
总部在多伦多大学蒙克国际研究中心的Citizen Lab,以及cure53,一个德国渗透测试服提供商,将同时对Smart Sheriff进行审核,并且于星期日发布有关应用程序的检测报告。
在cure53的writeup(.PDF)里,研究人员声称,该app“在每一个可以想象的应用方面非常缺乏安全性。“,“让每个在一定年龄门槛内的移动用户必须使用(强制使用)这个应用程序,这显然应该被认为是不负责任的。”