Hlavní obsah

Chyba v herní aplikaci Magic Kinder pro Android umožňuje sledovat a obtěžovat děti

Novinky, Jan Potůček, eset.cz

Tlačítkem Sledovat můžete odebírat oblíbené autory a témata. Články najdete v sekci Moje sledované a také vám pošleme upozornění do emailu.

11. 4. 2016, 13:53

Obavy rodičů, kteří nechávají děti stahovat a hrát různé hry na tabletu či telefonu, se zhmotnily v podobě herní aplikace Magic Kinder dostupné v obchodu Google Play. Na první pohled neškodný program, který umožňuje malým dětem hrát hry, sledovat videa, číst příběhy, malovat, ale také sdílet texty, obrázky a videa s rodinnými příslušníky, obsahuje závažnou bezpečnostní chybu.

Článek

Komunikace mezi uživateli aplikace totiž není šifrovaná a umožňuje potenciálním útočníkům zasílat dětem vlastní obsah, včetně výhružných textů nebo nevhodných fotografií a videí.

Na problém upozornil bezpečnostní expert Massimo Boza z poradenské společnosti Hacktive Security poté, co tvůrce aplikace, společnost Magic Production Group S. A., ani po třech týdnech nereagoval na jeho upozornění a žádosti o odstranění chyby.

„Rozhodl jsem se zveřejnit tuto informaci, protože potíže pokračují i přes to, že na o nich provozovatel zjevně ví,“ vysvětlil Boza na serveru Softpedia.com. Útočník podle něj může prostřednictvím proxy serveru v lokální síti zachytit provoz na zařízení, jež využívá nainstalovanou aplikaci Magic Kinder. Změnou několika parametrů v HTTP protokolu Boza docílil toho, že mohl zasílat jakýkoli typ dat všem uživatelům aplikace.

Aplikaci Magic Kinder si stáhlo již nejméně půl miliónu uživatelů

Massimo Boza rovněž zjistil, že by mohl lehce získat přístup k tzv. Rodinným deníkům, které v aplikaci mohou zakládat rodiče dítěte a kteří do nich stahují fotografie či videa. Zneužitím ID jakéhokoli dítěte zařazeného do těchto deníků by dokonce mohl aktualizovat údaje v profilu daného uživatele.

Vzhledem k tomu, že hackerovi stačí pouze modifikovat jednoduché identifikační číslo uživatele, je provedení takového útoku velice snadné a dokázali by jej podniknout i lidé s menšími technickými dovednostmi. Podle Bozy existuje velké riziko, že někdo této chyby zneužije.

Problém je o to zásadnější, že podle statistiky Google Play si aplikaci Magic Kinder stáhlo již nejméně půl miliónu uživatelů. Případ je velmi podobný potížím výrobce dětských chytrých hodinek hereO GPS, u nichž bezpečnostní analytici společnosti Rapid7 objevili začátkem února chybu, jež umožňovala útočníkům proniknout do systému hodinek a pomocí souřadnic sledovat pohyb dětí a jejich rodinných příslušníků.

„Dětské aplikace obecně bývají velmi lákavým terčem útočníků a měly by mít co nejlepší zabezpečení. To se však často neděje, proto je dobré využívat nástrojů rodičovské kontroly, které škodlivé aplikace odfiltrují,“ upozorňuje bezpečnostní expert společnosti ESET Petr Šnajdr.