Una popular aplicación de control parental de Android tenía múltiples vulnerabilidades que permitían a los niños eludir los controles parentales y a los actores de amenazas para instalar malware o robar datos confidenciales de los dispositivos defectuosos.
La aplicación en cuestión se llama Parental Control – Kids Place, creada por una empresa llamada Kiddowares. Cuenta con más de cinco millones de descargas en Google Play, y ofrece todo tipo de funciones de control parental, desde monitoreo y geolocalización, hasta restricciones de internet y restricciones de pago. Los padres también pueden rastrear cómo sus hijos pasan el tiempo en el dispositivo y asegurarse de que estén a salvo de cualquier contenido malicioso.
Los hallazgos se describieron en un informe de los investigadores de seguridad cibernética SEC Consult, que ahora insta a los usuarios a actualizar las aplicaciones a la última versión de inmediato.
Implementación de malware
Ahora, los investigadores de SEC Consult encontraron que las versiones 3.8.49 y anteriores son vulnerables a cinco fallas.
El primero permite a los actores de amenazas interceptar y descifrar el registro de usuarios y los datos de inicio de sesión, lo que significa que podrían obtener información confidencial, como las credenciales de inicio de sesión.
El segundo, rastreado como CVE-2023-29079, permite ataques de secuencias de comandos entre sitios, que los actores de amenazas pueden usar para inyectar secuencias de comandos maliciosas en el tablero de los padres. El tercero, rastreado como CVE-2023-29078, es una falla de falsificación de solicitud entre sitios (CSRF), mientras que el cuarto permite a los atacantes enviar archivos de hasta 10 MB de tamaño al dispositivo del niño.
Este es particularmente peligroso ya que los archivos se cargan en un depósito de AWS S3, donde no se escanean y podrían contener malware. El quinto, rastreado como CVE_2023-28153, permite a los niños (o actores de amenazas) eliminar temporalmente todas las restricciones de uso. A menos que verifiquen manualmente el tablero, los padres no sabrán que ocurrió este cambio.
Los investigadores dijeron que todas las versiones anteriores a la 3.8.50 son vulnerables y han instado a los usuarios a actualizar de inmediato. El parche se lanzó el 14 de febrero de 2023.
Vía: BleepingComputer (se abre en una pestaña nueva)