研究人员说,研究人员说,Canopy是家长控制的应用程序,它提供了一系列可以通过内容检查保护孩子上网的功能,但很容易受到各种跨站脚本的影响(XSS)攻击。
这些攻击会导致禁止儿童监控甚至更严重的后果,并为父母提供恶意软件。
Canopy提供智能内容过滤,防止色情短信、设备照片保护(通过图像过滤)、屏幕时间监控、儿童通信报警和非法网站,Canopy它还使用人工智能引擎和虚拟网络过滤功能。此外,它还提供远程设备管理和控制儿童应用程序和网站的功能。
根据安全研究人员的说法,该应用程序的安装过程需要授予一系列权限,包括无障碍支持、显示在其他应用程序上的功能和安装基础CA配置虚拟网络。该应用程序还可以作为设备管理员(选择性),防止删除应用程序......这种特权访问将给使用这些设备的儿童的安全和隐私带来相当大的风险。
该应用程序被曝光XSS漏洞
事实证明,研究人员的想法并没有错。在研究应用程序的Android版本时,研究人员发现了几个XSS这种攻击发生在恶意脚本注入其他正常或值得信赖的网站时。
这种注入通常是通过将恶意代码输入网络响应或评论字段来实现的,然后将有效载荷发送到网络服务器。通常,这些响应会在服务器端得到验证,因此恶意脚本将被阻止。Canopy在公司案例中,研究人员发现该应用缺乏这些检查。
一旦网站入侵,网站的任何访问者都可能成为受害者或存储XSS攻击要么被引诱点击链接,被反射XSS攻击。
漏洞简析
第一个问题是可以绕过应用程序的保护措施。
当研究人员Canopy当他屏蔽不良网站的核心功能时,他发现,当他试图在测试的Android设备上加载一个禁止的网站时,它显示了一个屏蔽通知页面。通知页面上有一个按钮,允许孩子或她的父母访问他们想要访问的页面。
点击测试设备上的按钮后,在响应数据中添加一个简单的按钮XSS在待访问的网站上创建有效载荷脚本JavaScript弹出窗口,仔细观察会发生什么。当他进入网站时,弹出窗口出现了。
漏洞的原因是系统未能转换用户输入的内容。研究人员发现,该字段只允许用户输入50个字符,但这足以输入一个外部脚本。现在我们可以用各种方法来利用这个漏洞。
攻击者(如被监控的儿童)可以在异常请求中嵌入有效的攻击载荷。虽然攻击者使用这个漏洞的方式很多,但显然最简单的方法是自动批准一个请求。这里的第一个测试是自动点击批准的有效载荷。另一个有效载荷被测试,可以自动暂停监控保护。
外来攻击者是对的Canopy进行攻击
虽然熟悉脚本知识的孩子可以在网上攻击父母,但研究人员也发现它也会产生更严重的后果。
例如,他观察到阻止通知页面URL值(表明哪个网站被拒绝)将显示在父母仪表板的主页上。研究人员在这里做了一个简单的测试URL添加脚本标签,并在父控制台上加载当加载父亲仪表板的主页时,脚本将执行。我们现在可以提交一个异常请求。当父母登录检查监控设备时,攻击者可以控制它Canopy应用程序。
另外,因为攻击需要特殊的使用URL,因此,攻击完全有可能来自外部第三方平台。攻击者只需要建立一个可能被屏蔽的网站URL中添加脚本,并诱导孩子尝试访问它。当有关访问请求的通知传到家长控制台时,监控该账户的家长就会成为恶意脚本的受害者。
但这还不是全部。事实证明,Canopy API外部攻击者可以通过猜测父亲的账户ID,直接将XSS有效负载注入到父母账户的网页上。这也可能导致用户重新定向广告页面,使用其他漏洞,攻击恶意软件。最糟糕的是,攻击者还可以劫持访问安装在儿童手机上的应用程序,并从受保护的设备中提取它们GPS坐标。
因为用户的账户ID这是一个非常短的值,所以攻击者只需要依次对待每个值ID如果值发出异常阻断请求,攻击载荷可用于每个账户。
最糟糕的是Canopy未发布补丁
研究人员说,他多次通过电话和电子邮件联系公司,但几乎没有回应,所以他决定披露这些漏洞。他补充说,开发商应该尽快提出修复措施,以防止儿童受到攻击。
Canopy需要对所有用户输入的字段进行转义,但实际上它并没有这样做。在反复尝试与供应商进行合作后,为方便其他人可以从中了解并采取相应的措施,最终决定公布这份报告 。
本文翻译自:https://threatpost.com/canopy-parental-control-app-unpatched-xss-bugs/175384/如果转载,请注明原始地址。