Aplikasi kontrol orang tua mungkin lebih berbahaya daripada kebaikan, menurut peneliti yang menemukan 18 bug di delapan aplikasi Android dengan lebih dari 20 juta unduhan total yang dapat dimanfaatkan untuk, di antara banyak tindakan jahat, mengontrol perangkat lain di jaringan orang tua.
Fabian Densborn dan Bernhard Gründling dari SEC Consult Vulnerability Lab menemukan kerentanan tersebut dan menemukan bahwa dasbor web induk rentan terhadap serangan cross-site request forgery (CSRF) dan cross-site scripting (XSS).
Selain “dengan mudah dilewati” oleh anak-anak yang ingin mereka lindungi, aplikasi buggy juga memudahkan penjahat untuk mengakses data dan perangkat orang tua dan anak-anak, kata para peneliti dalam sebuah laporan yang diterbitkan pada hari Selasa.
“Lab Kerentanan SEC Consult telah menghubungi beberapa vendor yang disebutkan di bawah ini melalui proses pengungkapan tanggung jawab kami,” mereka menulis. “Kerentanan keamanan yang teridentifikasi harus diperbaiki dalam waktu dekat, menurut vendor.”
Setelah tambalan itu diluncurkan, keduanya mengatakan mereka akan merilis lebih banyak detail teknis tentang kerentanan. Namun sementara itu, inilah yang kami ketahui tentang bug tersebut. Oh, dan “hampir semua” aplikasi yang dianalisis “menggunakan semacam layanan pelacakan,” catat para peneliti.
Aplikasi yang semuanya tersedia di Google Play Store antara lain familytime.io (lebih dari 1 juta unduhan), Boomerang (lebih dari 100.000 unduhan), Quostodio (lebih dari 1 juta unduhan), Wondershare FamiSafe (lebih dari 1 juta unduhan), Find My Kids (lebih dari 10 juta unduhan), Parental Control Kroha (lebih dari 1 juta unduhan), Kids Place Parental Controls (lebih dari 5 juta unduhan), dan Aplikasi Parental Control (lebih dari 1 juta unduhan).
Beberapa aplikasi dapat dicadangkan menggunakan Android Debug Bridge (ADB), alat baris perintah yang memungkinkan pengembang berkomunikasi dengan perangkat Android untuk membuat cadangan, men-debug aplikasi, dan mengubah setelan perangkat. Namun, itu juga dapat disalahgunakan untuk memungkinkan penyerang mengakses cadangan, dan kemudian mencuri file konfigurasi sensitif atau data pribadi yang disimpan di perangkat, menurut para peneliti.
Selain itu, beberapa aplikasi mengizinkan koneksi teks biasa, yang memungkinkan aplikasi menggunakan komunikasi yang tidak terenkripsi. “Misalnya, serangan man-in-the-middle sederhana dapat digunakan untuk mengendus kredensial pengguna atau informasi identitas pribadi lainnya,” tulis keduanya.
Bahkan aplikasi yang memiliki langkah-langkah seperti menyematkan sertifikat untuk melindungi dari serangan man-in-the-middle, “dapat dengan mudah dielakkan dengan menggunakan Bypass Penyematan SSL Universal skrip untuk Frida,” tambah mereka.
Para peneliti juga menyoroti masalah privasi seputar aplikasi ini, yang menyimpan dan mengirimkan informasi sensitif termasuk daftar aplikasi yang diinstal, kontak, foto, lokasi GPS, metadata panggilan, penggunaan aplikasi oleh anak-anak, dan dalam beberapa kasus isi penuh pesan teks.
Selain itu, lokasi vendor aplikasi juga menaikkan beberapa tanda keamanan data dan privasi. “Misalnya, dasbor web Find My Kids mengirimkan sejumlah data yang bervariasi – tergantung pada gerakan mouse – ke domain pelacakan Rusia (mc.yandex.ru),” tulis para peneliti.
Jadi apa solusi untuk mencegah anak-anak melihat konten berbahaya secara online sekaligus melindungi data dan perangkat dari penyusup? Sayangnya tidak ada peluru ajaib, dan, seperti semua aplikasi pihak ketiga, terserah kepada pengguna untuk meninjau syarat dan ketentuan vendor serta data, pengumpulan, retensi dan kebijakan privasi — dan, idealnya, untuk memverifikasi informasi yang vendor menyediakan.
Seperti yang dicatat oleh Densborn dan Gründling, “semua aplikasi kontrol orang tua tampaknya memiliki berbagai kelemahan, jadi sayangnya itu tergantung pada penilaian risiko Kamu sendiri.”
Dengan kata lain: perangkat lunak, seperti kehidupan, pada dasarnya cacat. Lanjutkan dengan hati hati. ®