L’application Kiddowares « Parental Control – Kids Place » pour Android est affectée par de multiples vulnérabilités qui pourraient permettre aux attaquants de télécharger des fichiers arbitraires sur des appareils protégés, de voler les informations d’identification des utilisateurs et de permettre aux enfants de contourner les restrictions sans que les parents ne s’en aperçoivent.
L’application Kids Place est une suite de contrôle parental avec 5 millions de téléchargements sur Google Play, offrant des capacités de surveillance et de géolocalisation, des restrictions d’accès et d’achat à Internet, la gestion du temps d’écran, le blocage des contenus nuisibles, l’accès aux appareils à distance, etc.
Les chercheurs de SEC Consult ont découvert que les versions 3.8.49 et antérieures de l’application Kids Place sont vulnérables à cinq failles qui pourraient avoir un impact sur la sécurité et la confidentialité de ses utilisateurs.
Les cinq problèmes de sécurité sont les suivants :
- Les actions d’enregistrement et de connexion de l’utilisateur renvoient le hachage MD5 non salé du mot de passe, qui peut être intercepté et facilement déchiffré. Les hachages MD5 ne sont plus considérés comme sécurisés sur le plan cryptographique, car ils peuvent être forcés brutalement à l’aide d’ordinateurs modernes.
- Le nom personnalisable de l’appareil de l’enfant peut être manipulé pour déclencher une charge utile XSS dans le tableau de bord Web parent. Les enfants ou les attaquants peuvent injecter des scripts malveillants à exécuter sur le tableau de bord du parent, obtenant ainsi un accès non autorisé. Le problème a reçu l’identifiant CVE-2023-29079.
- Toutes les requêtes du tableau de bord Web sont vulnérables aux attaques de falsification de requête intersite (CSRF). L’attaque nécessite la connaissance de l’ID de l’appareil, qui peut être obtenu à partir de l’historique du navigateur. Le problème a reçu l’identifiant CVE-2023-29078.
- Un attaquant pourrait exploiter la fonctionnalité de tableau de bord de l’application, initialement destinée aux parents pour envoyer des fichiers jusqu’à 10 Mo sur l’appareil de leur enfant, afin de télécharger des fichiers arbitraires dans un compartiment AWS S3. Ce processus génère une URL de téléchargement qui est ensuite envoyée à l’appareil de l’enfant. Aucune analyse antivirus n’est effectuée sur les fichiers téléchargés, ceux-ci peuvent donc contenir des logiciels malveillants.
- L’utilisateur de l’application (enfant) peut supprimer temporairement toutes les restrictions d’utilisation pour contourner les contrôles parentaux. L’exploitation de la faille, suivie comme CVE-2023-28153, ne génère pas de notification au parent, elle passe donc inaperçue à moins qu’une vérification manuelle ne soit effectuée sur le tableau de bord.
Le rapport de SEC Consult contient des demandes de preuve de concept ou des instructions étape par étape sur l’exploitation des problèmes ci-dessus, ce qui permet aux acteurs de la menace d’exploiter facilement les vulnérabilités des anciennes versions des applications ou aux enfants de contourner les restrictions.
Par conséquent, il est essentiel de mettre à jour vers une version sécurisée de l’application, qui est 3.8.50 ou ultérieure.
Les analystes ont découvert les failles le 23 novembre 2022, lors du test de Kids Place 3.8.45 et l’ont signalé au fournisseur, Kiddoware.
Le fournisseur a finalement résolu tous les problèmes avec la version 3.8.50, publiée le 14 février 2023.
Les utilisateurs de l’application peuvent effectuer la mise à jour vers la dernière version en ouvrant la boutique Google Play, en appuyant sur l’icône de leur compte, en sélectionnant « Gérer les applications et l’appareil » et en appuyant sur « Vérifier les mises à jour ».
Vous pouvez également appuyer longuement sur l’icône de l’application, puis sélectionner Infos sur l’application → Détails de l’application → Mettre à jour.