Las aplicaciones de control parental gozan últimamente de mucha popularidad, ya que permiten a los padres controlar el tiempo que dedican sus hijos a los dispositivos móviles, los contenidos que consumen, evitar publicidad indeseada, restringir las compras y gastos online y hasta tener acceso a su ubicación para saber dónde se encuentran.
Sin embargo, como ocurre con otros muchos programas informáticos, estas apps tambíén pueden tener agujeros de seguridad.
Los investigadores han encontrado que Kids Place, una suite de control parental que supera los 5 millones de descargas en Google Play, está afectada por diversas vunerabilidades.
A través de estas los actores de amenazas podrían cargar archivos arbitrarios en dispositivos protegidos, robar credenciales de los usuarios y posibilitar que los menores eludan las restricciones sin que los padres sean conscientes de ello.
Según señalan los investigadores de SEC Consult, la versión 3.8.49 de la app y las versiones anteriores serían vulnerables a cinco fallas que podrían afectar la privacidad y seguridad de los usuarios. La compañía las descubrió el pasado 23 de noviembre y las puso en conocimiento del proveedor, Kiddoware.
Todas las vulnerabildades encontradas
Entre los problemas identificados están uno por el que la contraseña se puede interceptar y descifrar fácilmente, otro por el que el nombre personalizable del dispositivo se puede manipular (responde al identificador CVE-2023-29079), otro por el que todas las solicitudes en el panel web son vulnerables a los ataques de falsificación de solicitudes entre sitios (CVE-2023-29078), uno que facilita explotar la función del tablero de la aplicación y una última vulnerabilidad por la que el niño puede eliminar temporalmente todas las restricciones (CVE-2023-28153).
Para evitar todas estas fallas es aconsejable actualizar a una versión segura de la aplicación, la 3.8.50 o posterior.