Les applications de la maternelle sont dangereusement non sécurisées

by · October 21, 2022

Les applications de la maternelle sont dangereusement non sécurisées

L’année dernière, plusieurs parents à l’EFF ont inscrit leurs enfants à la maternelle et ont immédiatement été invités à télécharger une application pour gérer la garde de leurs enfants. Les applications de garderie et préscolaires incluent souvent des notifications sur les tétées, les changements de couches, des photos, des activités et quel parent a pris/déposé l’enfant – des fonctionnalités potentiellement utiles pour surmonter l’anxiété de séparation chez les enfants nouvellement inscrits et leurs parents anxieux. Comme nous travaillons dans une organisation soucieuse de la confidentialité, nous nous sommes posé des questions : devons-nous les utiliser ? Sont-ils en sécurité ? La réponse à la première a malheureusement été “oui”, en partie pour que les écoles puissent suivre les consignes sanitaires afin d’éviter tout contact personnel inutile. Mais de façon inquiétante, la réponse à la seconde fut un “non” retentissant.

Comme c’est le cas avec tant de ces services, certaines applications sont plus populaires que d’autres. Alors que nous avons commencé par celui qu’on nous a demandé d’utiliser, cela nous a fait regarder l’ensemble de l’industrie.

“L’épaule (principalement) froide”

De nos jours, il est assez courant d’offrir une authentification à deux facteurs (2FA), où deux méthodes différentes sont utilisées pour vérifier la connexion d’un utilisateur. L’EFF a souvent affirmé qu’il était l’un d’entre eux moyens les plus simples pour augmenter votre sécurité. Par conséquent, cela semblait être une première étape fondamentale pour les applications de la maternelle.

En octobre 2021, nous avons essayé de contacter l’un des services de garde d’enfants les plus populaires, Brightwheel, au sujet de l’absence d’authentification à deux facteurs sur leur application mobile. Nous avons cherché sur le site un e-mail pour signaler des problèmes de sécurité et des problèmes, mais nous n’en avons pas trouvé.

Quelques e-mails froids et quelques réseaux plus tard, nous avons eu une réunion. La conversation a été productive et nous avons été heureux d’apprendre que Brightwheel déploie 2FA pour tous les administrateurs et parents. En fait, l’annonce de la société affirmait qu’ils étaient “1er partenaire à offrir ce niveau de sécurité» dans l’industrie – une affirmation intéressante mais aussi potentiellement inquiétante.

Était-ce vrai ? Apparemment oui. Cela nous a incités à faire plus de sensibilisation à d’autres applications de maternelle populaires. En avril 2022, nous avons contacté le vice-président de l’ingénierie d’une autre application populaire, HiMama (pas de réponse). Nous avons ensuite envoyé un e-mail à l’assistance de HiMama à propos de 2FA, et avons reçu une réponse rapide mais peu prometteuse indiquant que notre demande de fonctionnalité serait transmise à l’équipe produit pour assistance. Alors on a creusé plus loin.

See also  Can you trust mobile banking apps? How to stay as safe as possible when tapping your phone.

Creuser et une histoire d’épaules froides

En examinant un certain nombre d’applications préscolaires et d’éducation préscolaire populaires, nous avons rapidement trouvé plus de problèmes que le simple manque de 2FA. Grâce à l’analyse statique et dynamique de plusieurs applications, nous avons découvert non seulement des problèmes de sécurité, mais également des fonctionnalités qui compromettent la confidentialité. Des problèmes tels que des politiques de mot de passe faibles, le suivi Facebook, le trafic en texte clair activé et des vecteurs permettant aux applications malveillantes d’afficher des données sensibles.

À titre de note sur les outils et la méthodologie d’enquête : nous avons utilisé MobSF et apktool pour l’analyse statique du code d’application et mon proxy, Fridaet adb (Android Debug Bridge) pour une analyse dynamique afin de capturer le trafic réseau et le comportement des applications.

Au départ, nous avions conclu que bon nombre de ces services n’auraient pas conscience de leurs problèmes, et nous avions prévu de divulguer toute vulnérabilité à chaque entreprise. Cependant, nous avons découvert que non seulement nous n’étions pas les seuls à nous interroger sur la sécurité de ces applications, mais que nous n’étions pas les seuls à recevoir peu ou pas de réponse des entreprises.

En mars 2022, un groupe de chercheurs universitaires et de chercheurs en sécurité de l’agence AWARE7, de l’Institute for Internet Security, de l’Institut Max Planck pour la sécurité et la confidentialité et de l’Université de la Ruhr à Bochum ont présenté un papier à Symposium sur les technologies de protection de la vie privée (PET). à Sydney, Australie. Ils ont décrit le manque de réponse que leurs propres révélations ont rencontré :

“Précisément parce que les données des enfants sont en jeu et que la réponse dans le processus de divulgation a été faible (6 fournisseurs sur 42 (±14%) ont répondu à notre divulgation), nous espérons que notre travail attirera l’attention sur cette question sensible. les fournisseurs et les parents ne peuvent pas analyser ces applications eux-mêmes, mais ils doivent aider à décider quelle application introduire.”

En fait, les chercheurs ont révélé des divulgations de vulnérabilités pour bon nombre des applications que nous avons étudiées en novembre 2021. Bien que l’on sache que les données des enfants étaient en jeu, les contrôles de sécurité n’avaient toujours pas été mis en tête de l’ordre du jour dans cette industrie. Les problèmes de confidentialité subsistaient également. Par exemple, l’application Android Tadpoles (v12.1.5) envoie l’activité de l’application basée sur les événements à l’API Graph de Facebook. Ainsi que des informations très détaillées sur l’unité Branche.io.

L’application Tadspoles pour Android utilise le SDK Facebook pour envoyer des données d’événement d’application personnalisées à graph.facebook.com

[Related: How to Disable Ad ID Tracking on iOS and Android, and Why You Should Do It Now]

Informations complètes envoyées à branch.io

Dans son déclaration de confidentialité, Branch.io dit qu’il ne vend ni ne “loue” ces informations, mais la quantité exacte de données qui leur est envoyée – jusqu’au type de processeur de l’appareil – est très détaillée, créant un profil complet sur le parent/tuteur à l’extérieur de l’application Les têtards. Un profil soumis au partage de données dans des situations telles que une fusion ou une acquisition de Branch.io. Ni Branch.io ni Facebook ne sont répertoriés ou mentionnés dans Tadpole’s déclaration de confidentialité.

Remarque sur la sécurité du cloud

Une autre tendance commune à de nombreuses applications de garde d’enfants : s’appuyer sur les services cloud pour transmettre leur posture de sécurité. Ces applications déclarent souvent qu’elles utilisent “le cloud” pour fournir une sécurité haut de gamme. Par exemple, HiMama écrit dans le leur Déclaration de sécurité Internet que l’AWS d’Amazon “convient à l’exécution d’applications gouvernementales sensibles et est utilisé par plus de 300 agences gouvernementales américaines, ainsi que par la marine, le Trésor et la NASA”. C’est techniquement vrai, mais AWS a une offre spéciale (AWS GovCloud) qui est isolé et configuré pour répondre aux normes fédérales requises pour les serveurs publics et les applications sur ces serveurs. Qu’une application utilise des offres cloud standard ou gouvernementales, une part importante de la configuration et de la sécurité des applications est laissée aux développeurs et à l’entreprise. Nous souhaitons à HiMama et aux autres pareil les applications ne mettront en évidence que les configurations de sécurité spécifiques qu’elles appliquent aux services cloud qu’elles utilisent.

Les besoins en matière de garde d’enfants entrent en conflit avec un choix éclairé

Lorsqu’un parent a un besoin immédiat de garde d’enfants et qu’une crèche proche de son domicile ou de son travail ouvre une place, il est moins susceptible de se disputer les candidatures choisies par le centre. Et les écoles maternelles et maternelles ne sont pas obligées d’utiliser une application spécifique. Mais ils s’appuient en fait sur un tiers pour traiter de manière éthique et sécurisée la valeur des données des enfants d’une école. Les réglementations telles que la COPPA (Children’s Online Privacy Protection Act) ne s’appliquent probablement pas à ces applications. Quelques service fournisseurs à plus tard faire référence indirectement à la COPPA avec un langage juridique selon lequel ils ne collectent pas de données direct des enfants de moins de 13 ans et nous trouvé une déclaration sur une application s’engager à se conformer à la COPPA.

Entre langage vague pouvant induire les parents en erreur sur la réalité de la sécurité des données, moins d’options pour les jardins d’enfants (en particulier les deux premières années de la pandémie), les applications qui fuient et non sécurisées et le manque d’options de contrôle pour la sécurité des comptes, les parents ne peuvent pas prendre une décision en toute connaissance de cause ou en toute connaissance de cause.

Appel à l’action pour les applications pour les jardins d’enfants et l’éducation préscolaire

Il est essentiel que les entreprises qui créent ces applications n’ignorent pas les vulnérabilités de sécurité courantes et facilement réparables. Fournir aux parents et aux écoles des contrôles de sécurité appropriés et renforcer l’infrastructure des applications devrait être la priorité absolue pour un ensemble d’applications traitant les données des enfants, en particulier les très jeunes enfants servis par l’industrie de la garde d’enfants. Nous encourageons tous ces services à donner la priorité aux protections et directives de base suivantes :

Tâches immédiates :

  • 2FA disponible pour tous les administrateurs et le personnel.
  • Corrigez les vulnérabilités de sécurité connues dans les applications mobiles.
  • Divulguez et répertoriez tous les trackers et analyses et comment ils sont utilisés.
  • Utilisation endurci images de serveur cloud. De plus, un processus est en place pour mettre à jour en permanence la technologie obsolète sur ces serveurs.
  • Verrouillez tous les compartiments de cloud public qui hébergent des vidéos et des photos d’enfants. Celles-ci ne doivent pas être accessibles au public et l’école maternelle et les parents/tuteurs d’un enfant doivent être les seuls à pouvoir accéder et voir ces données sensibles.

Ces correctifs créeraient un environnement beaucoup plus sûr et plus privé pour les données sur les enfants qui sont trop jeunes pour parler d’eux-mêmes. Mais il y a toujours plus à faire pour créer des applications qui créent des normes de l’industrie pour la confidentialité des enfants.

Tâches fortement encouragées :

Messages E2EE (cryptés de bout en bout) entre l’école et les parents

Considérez la communication entre les écoles et les parents comme très sensible. Il n’est pas nécessaire que le service lui-même visualise les communications envoyées entre les écoles et les parents.

Créer des canaux de sécurité pour signaler les vulnérabilités

Les chercheurs de l’EFF et d’AWARE7 (et al.) ont eu du mal à trouver les bons canaux lorsque nous avons découvert des problèmes avec différentes applications. Ce serait génial s’ils en créaient un simple security.txt dossier sur leur site Internet pour les chercheurs d’entrer en contact avec les bonnes personnes, plutôt que d’espérer obtenir des réponses des e-mails d’assistance de l’entreprise.

Chez EFF, nous sommes aussi des parents. Et le paysage actuel n’est pas juste pour les parents. Si nous voulons un meilleur avenir numérique, cela commence par être de meilleurs intendants aujourd’hui et ne pas créer de précédent pour les violations de données qui pourraient conduire à un profilage généralisé – ou pire – des enfants qui n’ont pas encore fait leurs premiers pas.

Related posts:

  1. La NCSA travaille pour assurer la cybersécurité pendant la Coupe du monde
  2. Comment une vidéo compromise peut se retrouver dans votre statut WhatsApp (et sans être piratée)
  3. Comment 12 $ peuvent acheter des réseaux sociaux piratés et des comptes de streaming sur le Dark Web, révèle une étude Whizcase 2022
  4. Les citoyens britanniques perdent des millions de comptes personnels en raison d’une mauvaise protection par mot de passe

Tags:

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *