Life360 laisse potentiellement les données sensibles de ses utilisateurs en danger

L'application de sécurité familiale Life360 n'a pas de garde-corps standard pour empêcher un pirate de prendre le contrôle d'un compte et d'accéder à des informations sensibles, a découvert The Markup.

Le service, utilisé par plus de 35 millions de personnes dans 140 pays, est une application de suivi de localisation permettant aux familles de garder un œil sur les allées et venues de leurs proches. L'application partage l'emplacement en temps réel entre les membres du groupe ainsi que les emplacements marqués tels que les maisons et les lieux de travail.

Grâce à une série de tests, nous avons constaté que Life360 ne fournit pas plusieurs mesures de sécurité de base pour contrecarrer les pirates potentiels, notamment en limitant les tentatives de connexion infructueuses et en fournissant une authentification à deux facteurs pour les comptes.

Le balisage a testé l'application Life360 par rapport à une série de normes publiées par l'Open Web Application Security Project (OWASP), une fondation à but non lucratif qui promeut les normes de sécurité des applications.

La norme ASVS ( Application Security Verification Standard ) de l'organisation est une directive volontaire de l'industrie et suit également de près les directives d'identité numérique du National Institute of Standards and Technology (NIST) , qui sont des normes fédérales pour l'authentification des utilisateurs.

Nous avons constaté que l'application de Life360 n'a pas réussi six des 19 tests que nous avons pu effectuer pour des fonctionnalités de sécurité importantes telles que la limitation des tentatives de connexion infructueuses et la vérification que les mots de passe sont vérifiés par rapport à un ensemble d'informations d'identification violées.

Life360 a réussi 11 autres tests ASVS. Par exemple, nous avons vérifié que les utilisateurs peuvent changer leur mot de passe et peuvent utiliser des mots de passe de plus de 64 caractères. Life360 a partiellement réussi deux tests supplémentaires qui vérifient si un utilisateur est informé des changements de compte.

Nous avons constaté que l'application informait les utilisateurs des connexions à partir de plusieurs appareils et des demandes de réinitialisation de mot de passe, mais pas lorsque l'adresse e-mail, le numéro de téléphone ou le mot de passe du compte étaient modifiés. Vous pouvez voir les résultats complets de nos tests ici .

"Nous sommes fortement en désaccord avec les accusations implicites dans votre série de questions. Nous avons une équipe de sécurité très expérimentée et effectuons des audits internes et externes de notre plateforme. De plus, nous hébergeons un programme de primes de bogues et effectuons des tests de pénétration continus », a déclaré Chris Robertson, responsable des opérations de sécurité et de cloud pour Life360, dans une déclaration envoyée par e-mail à The Markup.

Pour l'un des tests, nous avons mis en place un script qui tentait de se connecter à l'un de nos comptes sur le site Web de Life360 en utilisant des mots de passe incorrects plus de 500 fois en un peu plus de 16 minutes (après avoir coché une case initiale intitulée "Je suis humain").

Cela nous a permis de nous connecter lorsque nous avons entré le mot de passe correct à la 501e tentative. Nous avons également effectué ce test manuellement via l'application avec plus de 100 tentatives infructueuses avec le mauvais mot de passe, suivies d'une tentative réussie avec le bon mot de passe.

Dans les deux cas, Life360 n'a jamais bloqué les futures tentatives de connexion et a immédiatement autorisé l'accès une fois que nous avons saisi le bon mot de passe.

La norme ASVS appelle à ne pas autoriser plus de 100 tentatives de connexion infructueuses par heure sur un seul compte.

Les politiques de mot de passe laxistes de la plate-forme, le manque apparent de limites de tentatives de connexion et l'absence d'authentification à deux facteurs sont remarquables compte tenu de la nature sensible des données de localisation précises et en temps réel qu'elle utilise et du fait que des enfants figurent parmi ses utilisateurs.

Le balisage a précédemment signalé que la vaste collection de données de localisation de Life360 en faisait l'un des plus grands fournisseurs de données brutes pour l'industrie des données de localisation. En janvier, la société a annoncé qu'elle cesserait de vendre des données de localisation précises (sauf à Arity d'Allstate) mais continuerait de fournir des données de localisation agrégées à la société Placer AI.

"Une application qui traite des informations sur les enfants qui n'offrent pas au moins une [authentification] multifactorielle, c'est de la négligence pure et simple", a déclaré Jim Manico, chef de projet de l'ASVS.

Les utilisateurs de Life360 se sont plaints de connexions non autorisées dans plusieurs publications surles réseaux sociaux et dans les critiques de l'application Life360 dans les magasins d'applications Google Play et iOS. Plusieurs utilisateurs ont affirmé qu'un pirate informatique s'était connecté à leurs comptes et avait pu voir soit leurs emplacements en temps réel, leurs endroits marqués comme leurs maisons, soit l'emplacement en temps réel de leurs proches.

Life360 a répondu à chacune des critiques de l'App Store que nous avons trouvées, en dirigeant les utilisateurs vers leur équipe d'assistance.

Les examinateurs n'ont pas répondu aux multiples demandes de commentaires. "Les rapports de comptes piratés sont extrêmement rares et sont généralement le résultat d'un membre de la famille invitant quelqu'un, comme un ami, sur son compte familial partagé", a déclaré Robertson de Life360.

D'anciens employés de Life360 ont déclaré à The Markup que les dirigeants de Life360 étaient bien conscients des problèmes de sécurité, mais ont choisi la croissance et les nouvelles fonctionnalités utilisateur plutôt que de gérer un arriéré d'améliorations de la sécurité. Les anciens employés ont parlé à The Markup sous couvert d'anonymat car ils sont toujours employés dans l'industrie des données.

Life360 a récemment commencé à se positionner comme un moyen d'assurer la sécurité numérique de ses utilisateurs, y compris la protection contre le vol d'identité, la surveillance du crédit et les notifications de violation de données. Dans son langage marketing , Life360 promet aux utilisateurs : « Nous protégeons vos données pour que vous puissiez vivre plus et vous inquiéter moins », notant que jusqu'à « 1 million d'enfants chaque année » sont victimes de piratage et d'usurpation d'identité.

La société ne suit pas non plus les conseils de sécurité qu'elle partage dans ses supports marketing. Dans une publiée sur le site Web de Life360, il recommande aux utilisateurs de définir des mots de passe d'au moins 12 caractères. Life360 exige uniquement que les mots de passe contiennent six caractères.

Les experts avertissent que les applications qui permettent aux gens de suivre les emplacements des autres, en particulier, peuvent être utilisées à mauvais escient.

Les partenaires abusifs utilisent parfois l'accès à des comptes partagés pour suivre et harceler les survivants, et les applications de suivi sont une grande partie de cette préoccupation, a déclaré Thomas Ristenpart, professeur agrégé à Cornell Tech et co-fondateur de la Clinic to End Tech Abuse.

Bien qu'il n'ait pas vu d'exemples d'abus de Life360 par des harceleurs, Ristenpart a déclaré que toutes les applications qui fournissent des données de localisation en temps réel sont préoccupantes. Dans son travail, il est au courant des outils de surveillance de localisation utilisés par des partenaires abusifs qui traquent et traquent les survivants, a-t-il déclaré.

"Nous recherchons des applications comme Life360 installées. Si nous les trouvons, nous discutons avec les clients de ce qu'ils veulent faire », a déclaré Ristenpart.

L'amélioration de la sécurité des comptes est souvent la principale recommandation que Ristenpart fait aux entreprises technologiques, a-t-il déclaré.

De plus en plus d'entreprises exigent une authentification à deux facteurs comme fonction de sécurité pour empêcher les prises de contrôle de compte. En février, Google a signalé une baisse de 50 % des prises de contrôle de compte après avoir activé l'authentification à deux facteurs par défaut. Ring, la société de sonnettes appartenant à Amazon, a activé l'authentification obligatoire à deux facteurs après que des pirates ont détourné des caméras pour harceler les propriétaires .

Les experts ont déclaré qu'il était également important d'empêcher les utilisateurs de créer des mots de passe évidents tels que "123456" et "mot de passe", ce que Life360 ne fait pas. L'application n'a pas non plus signalé un mot de passe célèbre, "password1", et une connexion par e-mail "[email protected]", que le comédien Andy Samberg apartagé en plaisantant comme sa connexion HBO aux Emmy Awards 2015.

Les deux informations d'identification ont été signalées par la vérification du mot de passe de Google Chrome ainsi que par la base de données Have I Been Pwned comme divulguées.

"On dirait qu'ils n'ont même pas fait les bases", a déclaré Jim Fenton, consultant pour le NIST et co-auteur des directives d'authentification de l'agence. "Si vous pouvez utiliser le mot de passe 'mot de passe', ce n'est pas génial."

L'un des anciens employés de Life360 a déclaré à The Markup qu'il y avait eu un débat interne sur la validation des e-mails pour les comptes. La vérification d'une adresse e-mail permet d'empêcher la fraude et les robots de spammer un service, et cela empêche les utilisateurs de demander à quelqu'un de s'inscrire en leur nom.

L'ancien employé de Life360 a déclaré que l'entreprise avait décidé de ne pas prendre cette mesure pour faciliter l'inscription des gens.

Nous avons changé plusieurs fois les e-mails de nos comptes Life360 sans recevoir d'e-mails de validation pour nous assurer qu'il s'agissait de véritables adresses e-mail. Nous n'avons également jamais reçu d'e-mails de validation lors de l'inscription.

Crédits : Alfred Ng et Jon Keegan

Photo de Towfiqu barbhuiya sur Unsplash

Également publié ici