Application de surveillance de téléphone TeenSafe fuit les connexions iCloud des adolescents en texte clair

Un chercheur en sécurité a découvert au moins deux serveurs hébergés par une application de surveillance "sécurisée" pour iOS et Android, TeenSafe, qui étaient sur Amazon Web Services (AWS) depuis des mois sans avoir besoin d’un mot de passe pour accéder à leurs données.

L’application mobile, TeenSafe , se présente comme une application de surveillance « sécurisée » construite par les parents, pour les parents. Il permet aux parents d’afficher les messages texte de leurs enfants, de surveiller qui ils appellent et quand, de suivre les emplacements actuels et historiques de leurs téléphones, de vérifier leur historique de navigation et de voir les applications qu’ils ont installées.

Les serveurs qui fuient ont été découverts par Robert Wiggins, un chercheur en sécurité basé au Royaume-Uni qui recherche des données publiques et exposées. La société a pris un serveur après avoir été contacté par ZDNet. L’autre serveur ne contenait apparemment que des données non sensibles : probablement, des données de test.

Les données de plus de 10 000 comptes ont été exposées.

Wiggins a déclaré que les serveurs non protégés permettaient à quiconque de voir les ID utilisateur Apple, les adresses e-mail des parents, les numéros de téléphone uniques, les tentatives des utilisateurs de "trouver mon iPhone" et les mots de passe stockés en clair .

Wiggins a déclaré que si les données Android étaient exposées, il ne l’a pas rencontré.

Le chercheur en sécurité a déclaré à la BBC que les données étaient visibles parce que TeenSafe manquait de mesures de sécurité de base, comme un pare-feu, pour le protéger.

Tout cela malgré les affirmations de TeenSafe selon lesquelles l’application est sécurisée et utilise le cryptage pour brouiller les données :

TeenSafe utilise le cryptage SSL et Vormetric des données de pointe pour sécuriser les données de votre enfant. Les données de votre enfant sont cryptées - et restent cryptées - jusqu’à leur livraison, le parent.

Le contenu des messages, y compris les photos, n’a pas été inclus dans la fuite, et Zack Whittaker de ZDNet rapporte qu’aucun des enregistrements ne contenait l’emplacement des parents ou des enfants. Mais ce n’est pas seulement un confort froid : c’est un glaçon. Un hacker pourrait simplement utiliser ces mots de passe en clair pour obtenir le contenu d’un adolescent car, comme Whittaker l’a noté, l’application nécessite que l’authentification à deux facteurs (2FA) soit désactivée. Ainsi…

Un acteur malveillant visualisant ces données n’a besoin que d’utiliser les informations d’identification pour pénétrer dans le compte de l’enfant afin d’accéder à ses données de contenu personnelles.

Le stockage de mot de passe sûr et efficace aurait pu rendre cela presque impossible, même avec une base de données de mot de passe volée.

TeenSafe affirme que plus d’un million de parents utilisent le service.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 25 |

Actu en image