Aplikasi Kiddowares ‘Parental Control – Kids Place’ untuk Android dipengaruhi oleh beberapa kerentanan yang dapat memungkinkan penyerang untuk mengunggah file sewenang-wenang pada perangkat yang dilindungi, mencuri kredensial pengguna, dan memungkinkan anak-anak melewati batasan tanpa sepengetahuan orang tua.
Aplikasi Kids Place adalah rangkaian kontrol orang tua dengan 5 juta unduhan di Google Play, menawarkan kemampuan pemantauan dan geolokasi, akses internet dan batasan pembelian, manajemen waktu layar, pemblokiran konten berbahaya, akses perangkat jarak jauh, dan banyak lagi.
Peneliti di Konsultasi SEC menemukan bahwa aplikasi Kids Place versi 3.8.49 dan yang lebih lama rentan terhadap lima kelemahan yang dapat memengaruhi keamanan dan privasi penggunanya.
Kelima isu keamanan tersebut adalah sebagai berikut:
- Registrasi pengguna dan tindakan login mengembalikan hash kata sandi MD5 tawar, yang dapat dicegat dan didekripsi dengan mudah. Hash MD5 tidak lagi dianggap aman secara kriptografis, karena dapat dipaksa secara brutal menggunakan komputer modern.
- Nama perangkat anak yang dapat disesuaikan dapat dimanipulasi untuk memicu muatan XSS di dasbor web induk. Anak-anak atau penyerang dapat menyuntikkan skrip berbahaya untuk dieksekusi di dasbor orang tua, mencapai akses tidak sah. Masalahnya telah menerima pengidentifikasi CVE-2023-29079.
- Semua permintaan di dasbor web rentan terhadap serangan cross-site request forgery (CSRF). Serangan tersebut membutuhkan pengetahuan tentang ID perangkat, yang dapat diperoleh dari riwayat browser. Masalahnya telah menerima pengidentifikasi CVE-2023-29078.
- Penyerang dapat mengeksploitasi fitur dasbor aplikasi, yang awalnya ditujukan bagi orang tua untuk mengirim file hingga 10MB ke perangkat anak mereka, untuk mengunggah file arbitrer ke bucket AWS S3. Proses ini menghasilkan URL unduhan yang kemudian dikirimkan ke perangkat anak. Tidak ada pemindaian antivirus yang dilakukan pada file yang diunggah, sehingga file tersebut dapat berisi malware.
- Pengguna aplikasi (anak) dapat menghapus sementara semua batasan penggunaan untuk melewati kontrol orang tua. Memanfaatkan cacat, dilacak sebagai CVE-2023-28153, tidak menghasilkan pemberitahuan ke induk, sehingga tidak diketahui kecuali pemeriksaan manual dilakukan di dasbor.
Laporan SEC Consult berisi permintaan proof-of-concept atau petunjuk langkah demi langkah untuk mengeksploitasi masalah di atas, memudahkan pelaku ancaman untuk mengeksploitasi kerentanan pada versi aplikasi yang lebih lama atau bagi anak-anak untuk melewati batasan.
Oleh karena itu, sangat penting untuk memperbarui ke versi aplikasi yang aman, yaitu 3.8.50 atau lebih baru.
Analis menemukan kelemahan tersebut pada 23 November 2022, saat menguji Kids Place 3.8.45 dan melaporkannya ke vendornya, Kiddoware.
Vendor akhirnya mengatasi semua masalah dengan versi 3.8.50, yang dirilis pada 14 Februari 2023.
Pengguna aplikasi dapat memperbarui ke versi terbaru dengan membuka Google Play Store, mengetuk ikon akun mereka, memilih ‘Kelola aplikasi & perangkat’, dan mengetuk ‘Periksa pembaruan’.
Atau, tekan lama ikon aplikasi lalu pilih info aplikasi → Detail aplikasi → Memperbarui.
