Родительский контроль на Android сможет обойти даже ребенок

Родительский контроль на Android сможет обойти даже ребенок

Восемь Android-приложений для родительского контроля, суммарно собравшие свыше 20 млн загрузок, содержат уязвимости, грозящие обходом выставленных ограничений. Некоторые проблемы, по данным SEC Consult, позволяют добраться до конфиденциальной информации, в том числе на других устройствах в домашней сети.

Специализированные интернет-фильтры, призванные оградить детей от нежелательного контента, хранят и передают большие объемы конфиденциальной информации — такой как установленные приложения, контакты, фото, данные геолокации, метаданные вызовов, содержание СМС-сообщений. Выявленные уязвимости не только сводят на нет основную задачу такого софта, но также ставят под угрозу сохранность этих данных и безопасность устройств детей и родителей.

Для исследования были отобраны восемь программ родительского контроля, доступных в Google Play:

  • Familytime (> 1 млн загрузок),
  • Boomerang (> 100 тыс. загрузок),
  • Quostodio (> 1 млн загрузок),
  • Wondershare (> 1 млн),
  • Find My Kids (> 10 млн),
  • Parental Control Kroha (> 1 млн),
  • Kids Place Parental Controls (> 5 млн),
  • Kidssecurity Parental Control (> 1 млн).

Как оказалось, все они позволяют обойти ограничения, выставленные родителями, посредством отзыва разрешений — через настройки Android или переходом в безопасный режим. Речь идет о таких разрешениях, как политики администрирования, история использования, спецвозможности, наложение окна. Некоторые испытуемые приложения пытаются воспрепятствовать такому вмешательству — например, с помощью оверлея поверх системных настроек.

Одна из программ родительского контроля из-за неадекватного управления сессиями позволяла расширить права других приложений ребенка через API. Это тоже грозит снятием всех ограничений — от имени родителя. Еще одно спецприложение открывает возможность для считывания метаданных на другом устройстве через API.

Некоторые испытуемые проги допускают использование клиент-серверного приложения ADB (Android Debug Bridge) для создания резервных копий. В итоге злоумышленник сможет с его помощью добраться до бэкапа и украсть конфигурационные и другие закрытые данные, хранимые на смартфоне.

Исследователи также проверили на уязвимость веб-панели мониторинга для родителей. Оказалось, что в двух случаях можно провести XSS-атаку с целью выполнения различных действий на устройстве ребенка от имени родителя. Уязвимость тоже позволяет снять текущие ограничения, а также получить доступ к учетным данным пользователя (родителя).

Несколько приложений-фильтров допускают передачу данных открытым текстом (в виде опции), что открывает возможность для атаки «человек посередине» (MitM). Злоумышленник сможет таким образом завладеть учетками и ПДн. В этом случае не спасет даже такая защита, как закрепление сертификатов (certificate pinning), так как ее можно обойти с помощью специального скрипта для фреймворка Frida.

Некоторые сторонние серверы, с которыми контактируют программы родительского контроля, отслеживают не только использование софта и веб-панели, но также движения курсора мыши и клики — таким трекингом занимается, в частности, сервис mc.yandex.ru, получающий данные от Find My Kids.

О своих находках SEC Consult сообщила вендорам. После выпуска патчей аналитики обещают опубликовать другие подробности.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Россиян атакует троянизированный TOR Browser, ворующий криптовалюту

В «Лаборатории Касперского» полгода наблюдают всплеск атак, использующих инсталлятор Tor Browser в связке с программой-клиппером. На настоящий момент зафиксировано почти 16 тыс. заражений, в том числе в странах бывшего СНГ.

Метод распространения вредоносного репака доподлинно неизвестен; не исключено, что его раздают с торрент-сайтов или из другого стороннего источника. В России, где браузер Tor очень популярен, официальный сайт проекта периодически блокируют; в Brave даже добавили плагин для обхода таких ограничений, а злоумышленники активизировались и пытаются воспользоваться ситуацией.

Первые вредоносные бандлы Tor Browser появились еще в конце 2021 года. В минувшем августе месячная норма детектов резко возросла и до сих пор измеряется тысячами. Зловреда выдают за локализованную версию инсталлятора (например, torbrowser_ru.exe) с возможностью выбора языка по умолчанию.

Эксперты зарегистрировали сотни схожих образцов с одинаковой схемой развертывания в системе. Загружаемый экзешник лишен цифровой подписи и на самом деле представляет собой архив RAR SFX, содержащий три файла:

  • оригинальный инсталлятор Tor Browser с валидной подписью,
  • запароленный RAR с кодом клиппера,
  • инструмент командной строки для распаковки RAR.

Легитимный инсталлятор запускается для отвода глаз, одновременно происходит активация клиппера, который обычно прикрыт иконкой какой-либо популярной программы — например, uTorrent. Вредонос стартует как новый процесс и прописывается в системе на автозапуск.

Все задачи выполняются в автономном режиме. Клиппер сканирует содержимое буфера обмена, используя встроенные regex; найдя в тексте совпадения, он заменяет адрес криптокошелька произвольным из вшитого в код списка.

По словам исследователей, такие перечни могут включать тысячи возможных вариантов. Зловреда также можно отключить, используя комбинацию горячих клавиш Ctrl+Alt+F10, — эта опция, видимо, была добавлена на стадии тестирования.

 

Заражения общим количеством более 15 тыс. обнаружены в 52 странах. Топ-10 составили (в убывающем порядке) Россия, Украина, США, Германия, Узбекистан, Белоруссия, Китай, Нидерланды, Великобритания, Франция.

Текущая киберкампания, по оценкам, принесла авторам атак около $400 тыс. в биткоинах, лайткоинах, догикоинах и эфирах. Количество украденных монеро определить не удалось из-за высокой степени приватности сервиса.

В Kaspersky не исключают, что масштабы бедствия на самом деле намного больше: злоумышленники могли троянизировать другие популярные программы и использовать менее очевидные методы распространения. Во избежание неприятностей пользователям рекомендуют загружать софт только из надежных и доверенных источников, а также не пренебрегать антивирусной защитой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru