paint-brush
Life360 संभावित रूप से अपने उपयोगकर्ताओं के संवेदनशील डेटा को जोखिम में डालता हैद्वारा@TheMarkup
24,315 रीडिंग
24,315 रीडिंग

Life360 संभावित रूप से अपने उपयोगकर्ताओं के संवेदनशील डेटा को जोखिम में डालता है

द्वारा The Markup7m2022/09/10
Read on Terminal Reader
Read this story w/o Javascript

बहुत लंबा; पढ़ने के लिए

Life360 परिवारों के लिए अपने प्रियजनों के ठिकाने पर नज़र रखने के लिए एक स्थान ट्रैकिंग ऐप है। मार्कअप ने ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (ओडब्ल्यूएएसपी) द्वारा प्रकाशित मानकों की एक श्रृंखला के खिलाफ ऐप का परीक्षण किया, ऐप उन 19 परीक्षणों में से छह को पास करने में विफल रहा, जिन्हें हम महत्वपूर्ण सुरक्षा सुविधाओं जैसे कि विफल लॉग-इन प्रयासों को सीमित करने और सत्यापित करने में सक्षम थे। कि पासवर्ड को भंग किए गए क्रेडेंशियल्स के एक सेट के खिलाफ चेक किया गया है। Life360 का कहना है कि उसके पास "अत्यधिक अनुभवी सुरक्षा टीम है और आंतरिक और बाहरी दोनों ऑडिट करती है"
featured image - Life360 संभावित रूप से अपने उपयोगकर्ताओं के संवेदनशील डेटा को जोखिम में डालता है
The Markup HackerNoon profile picture

द मार्कअप ने पाया है कि पारिवारिक सुरक्षा ऐप Life360 में हैकर को किसी खाते पर कब्जा करने और संवेदनशील जानकारी तक पहुंचने से रोकने के लिए कुछ मानक रेलिंग नहीं हैं।


140 देशों में 35 मिलियन से अधिक लोगों द्वारा उपयोग की जाने वाली सेवा, परिवारों के लिए अपने प्रियजनों के ठिकाने पर नजर रखने के लिए एक स्थान ट्रैकिंग ऐप है। ऐप समूह के सदस्यों के साथ-साथ घरों और कार्यस्थलों जैसे चिह्नित स्थानों के बीच रीयल-टाइम स्थान साझा करता है।


परीक्षणों की एक श्रृंखला के माध्यम से, हमने पाया कि Life360 संभावित हैकर्स को विफल करने के लिए कई बुनियादी सुरक्षा उपाय प्रदान नहीं करता है, जिसमें विफल लॉग-इन प्रयासों को सीमित करना और खातों के लिए दो-कारक प्रमाणीकरण प्रदान करना शामिल है।


मार्कअप ने Open Web Application Security Project (OWASP) द्वारा प्रकाशित मानकों की एक श्रृंखला के विरुद्ध Life360 ऐप का परीक्षण किया, जो एक गैर-लाभकारी संस्था है जो ऐप सुरक्षा मानकों को बढ़ावा देती है।


संगठन का अनुप्रयोग सुरक्षा सत्यापन मानक (एएसवीएस) एक स्वैच्छिक उद्योग दिशानिर्देश है और यह राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) के डिजिटल पहचान दिशानिर्देशों का भी बारीकी से पालन करता है, जो उपयोगकर्ता प्रमाणीकरण के लिए संघीय मानक हैं।


हमने पाया कि Life360 का ऐप उन 19 परीक्षणों में से छह को पास करने में विफल रहा, जिन्हें हम महत्वपूर्ण सुरक्षा सुविधाओं के लिए करने में सक्षम थे, जैसे कि विफल लॉग-इन प्रयासों को सीमित करना और यह सत्यापित करना कि पासवर्ड का उल्लंघन क्रेडेंशियल्स के एक सेट के खिलाफ किया गया है।


Life360 ने 11 अन्य ASVS परीक्षण पास किए—उदाहरण के लिए हमने सत्यापित किया कि उपयोगकर्ता अपना पासवर्ड बदलने में सक्षम हैं और 64 वर्णों से अधिक के पासवर्ड का उपयोग कर सकते हैं। Life360 ने आंशिक रूप से दो अतिरिक्त परीक्षण पास किए हैं जो यह जांचते हैं कि उपयोगकर्ता को खाता परिवर्तनों के बारे में सूचित किया गया है या नहीं।


हमने पाया कि ऐप ने उपयोगकर्ताओं को कई उपकरणों से लॉग-इन और पासवर्ड रीसेट अनुरोधों के बारे में सूचित किया था, लेकिन तब नहीं जब खाते का ईमेल पता, फोन नंबर या पासवर्ड बदला गया था। आप हमारे परीक्षण के पूर्ण परिणाम यहां देख सकते हैं।


"हम आपके प्रश्नों की श्रृंखला में निहित आरोपों से पूरी तरह असहमत हैं। हमारे पास एक अत्यधिक अनुभवी सुरक्षा टीम है और हमारे मंच के आंतरिक और बाहरी दोनों ऑडिट करते हैं। इसके अलावा, हम एक बग बाउंटी कार्यक्रम की मेजबानी करते हैं और चल रहे प्रवेश परीक्षण चलाते हैं, ”क्रिस रॉबर्टसन, लाइफ़360 के लिए सुरक्षा और क्लाउड संचालन के प्रमुख, ने मार्कअप को एक ईमेल बयान में कहा।


एक परीक्षण के लिए, हमने एक स्क्रिप्ट सेट की, जिसने Life360 की वेबसाइट पर हमारे एक खाते में लॉग इन करने का प्रयास किया, केवल 16 मिनट में 500 से अधिक बार गलत पासवर्ड का उपयोग करके ("मैं मानव हूं" लेबल वाले प्रारंभिक चेकबॉक्स को चेक करने के बाद)।


जब हमने 501वें प्रयास में सही पासवर्ड दर्ज किया तो इसने हमें लॉग इन करने की अनुमति दी। हमने इस परीक्षण को मैन्युअल रूप से ऐप के माध्यम से गलत पासवर्ड के साथ 100 से अधिक असफल प्रयासों के साथ किया और उसके बाद सही पासवर्ड के साथ एक सफल प्रयास किया।


दोनों ही मामलों में, Life360 ने भविष्य के लॉग-इन प्रयासों को कभी भी अवरुद्ध नहीं किया और सही पासवर्ड डालने के बाद तुरंत पहुंच की अनुमति दी।


एएसवीएस मानक एक खाते पर प्रति घंटे 100 से अधिक असफल लॉग-इन प्रयासों की अनुमति देने के लिए कहता है।


प्लेटफ़ॉर्म की ढीली पासवर्ड नीतियां, लॉग-इन प्रयास सीमाओं की स्पष्ट कमी, और दो-कारक प्रमाणीकरण की अनुपस्थिति, सटीक, वास्तविक समय के स्थान डेटा की संवेदनशील प्रकृति और इस तथ्य को देखते हुए उल्लेखनीय है कि बच्चे इसके उपयोगकर्ताओं में से हैं।


मार्कअप ने पहले बताया था कि Life360 के स्थान डेटा के विशाल संग्रह ने इसे स्थान डेटा उद्योग के लिए कच्चे डेटा के सबसे बड़े आपूर्तिकर्ताओं में से एक बना दिया है। जनवरी में, कंपनी ने घोषणा की कि वह सटीक स्थान डेटा (ऑलस्टेट की एरिटी को छोड़कर) को बेचना बंद कर देगी, लेकिन फिर भी कंपनी प्लासर एआई को एकत्रित स्थान डेटा की आपूर्ति करेगी।


एएसवीएस के प्रोजेक्ट मैनेजर जिम मैनिको ने कहा, "एक ऐप जो बच्चे की जानकारी से निपट रहा है जो कम से कम मल्टीफैक्टर [प्रमाणीकरण] की पेशकश नहीं कर रहा है, यह सीधे-सीधे लापरवाही है।"


Life360 उपयोगकर्ताओं ने Google Play और iOS ऐप स्टोर में Life360 ऐप के लिएसोशल मीडिया पर कई पोस्ट और समीक्षाओं में अनधिकृत लॉग-इन के बारे में शिकायत की है। कई उपयोगकर्ताओं ने दावा किया कि एक हैकर ने उनके खातों में लॉग इन किया था और या तो उनके रीयल-टाइम स्थानों, उनके चिह्नित स्थानों जैसे उनके घरों, या उनके प्रियजनों के रीयल-टाइम स्थान को देखने में सक्षम थे।


Life360 ने उपयोगकर्ताओं को उनकी सहायता टीम की ओर निर्देशित करते हुए, हमें मिली प्रत्येक ऐप स्टोर समीक्षा का जवाब दिया।


समीक्षकों ने टिप्पणी के लिए कई अनुरोधों का जवाब नहीं दिया। Life360 के रॉबर्टसन ने कहा, "हैक किए गए खातों की रिपोर्ट अत्यंत दुर्लभ हैं और आमतौर पर परिवार के किसी सदस्य को अपने साझा परिवार खाते में किसी मित्र को आमंत्रित करने का परिणाम होता है।"


Life360 के पूर्व कर्मचारियों ने द मार्कअप को बताया कि Life360 के अधिकारी सुरक्षा मुद्दों से अच्छी तरह वाकिफ थे, लेकिन सुरक्षा सुधारों के बैकलॉग से निपटने के लिए विकास और नई उपयोगकर्ता सुविधाओं को चुना। पूर्व कर्मचारियों ने नाम न छापने की शर्त पर द मार्कअप से बात की क्योंकि वे अभी भी डेटा उद्योग में कार्यरत हैं।


Life360 ने हाल ही में पहचान की चोरी से सुरक्षा, क्रेडिट निगरानी और डेटा उल्लंघन की सूचनाओं सहित अपने उपयोगकर्ताओं की डिजिटल सुरक्षा सुनिश्चित करने के तरीके के रूप में खुद को स्थापित करना शुरू किया है। अपनी मार्केटिंग भाषा में, Life360 उपयोगकर्ताओं से वादा करता है, "हम आपके डेटा की सुरक्षा करते हैं ताकि आप अधिक जी सकें और चिंता कम कर सकें," यह देखते हुए कि "प्रत्येक वर्ष 1 मिलियन बच्चे" हैक और पहचान की चोरी के शिकार होते हैं।


कंपनी अपनी मार्केटिंग सामग्री में साझा की गई सुरक्षा सलाह का भी पालन नहीं करती है। Life360 की वेबसाइट पर पोस्ट किए गए एक में, यह अनुशंसा करता है कि उपयोगकर्ता कम से कम 12 वर्णों में पासवर्ड सेट करें। Life360 के लिए केवल यह आवश्यक है कि पासवर्ड में छह वर्ण हों।


विशेषज्ञ चेतावनी देते हैं कि ऐसे ऐप्स जो लोगों को विशेष रूप से एक-दूसरे के स्थानों को ट्रैक करने की अनुमति देते हैं, उनका दुरुपयोग किया जा सकता है।


अपमानजनक साझेदार कभी-कभी बचे हुए लोगों का अनुसरण करने और उन्हें परेशान करने के लिए साझा खातों तक पहुंच का उपयोग करेंगे, और ट्रैकिंग ऐप्स उस चिंता का एक बड़ा हिस्सा हैं, कॉर्नेल टेक के एक सहयोगी प्रोफेसर थॉमस रिस्टेनपार्ट और क्लिनिक टू एंड टेक एब्यूज के सह-संस्थापक ने कहा।


हालांकि उन्होंने लाइफ़360 के स्टाकर द्वारा दुर्व्यवहार के उदाहरण नहीं देखे हैं, रिस्टेनपार्ट ने कहा कि कोई भी ऐप जो रीयल-टाइम लोकेशन डेटा प्रदान करता है, चिंता का कारण है। उन्होंने कहा कि अपने काम में, उन्हें पता है कि दुर्व्यवहार करने वाले साझेदारों द्वारा लोकेशन मॉनिटरिंग टूल्स का इस्तेमाल किया जा रहा है, जो बचे लोगों को ट्रैक करते हैं और उनका पीछा करते हैं।


"हम Life360 जैसे ऐप्स इंस्टॉल करते हैं। यदि हम उन्हें ढूंढते हैं, तो हम ग्राहकों के साथ इस बारे में चर्चा करते हैं कि वे क्या करना चाहते हैं," रिस्टेनपार्ट ने कहा।


उन्होंने कहा कि खाता सुरक्षा में सुधार करना अक्सर शीर्ष सिफारिश है जो रिस्टेनपार्ट तकनीकी कंपनियों के लिए करता है, उन्होंने कहा।


खाता अधिग्रहण को रोकने के लिए अधिक कंपनियों को सुरक्षा सुविधा के रूप में दो-कारक प्रमाणीकरण की आवश्यकता होती है । फरवरी में, Google ने डिफ़ॉल्ट रूप से दो-कारक प्रमाणीकरण सक्षम करने के बाद खाता अधिग्रहण में 50 प्रतिशत की गिरावट दर्ज की । अमेज़ॅन के स्वामित्व वाली डोरबेल कंपनी रिंग ने मालिकों को परेशान करने के लिए हैकर्स द्वारा कैमरों को हाईजैक करने के बाद अनिवार्य दो-कारक प्रमाणीकरण सक्षम किया।


विशेषज्ञों ने कहा कि उपयोगकर्ताओं को "123456" और "पासवर्ड" जैसे स्पष्ट पासवर्ड बनाने से रोकना - जो Life360 नहीं करता - भी महत्वपूर्ण है। ऐप एक प्रसिद्ध उल्लंघन किए गए पासवर्ड, "पासवर्ड 1" और ईमेल लॉगिन "[email protected]" को फ़्लैग करने में भी विफल रहा, जिसे कॉमेडियन एंडी सैमबर्ग ने 2015 के एमी पुरस्कारोंमें अपने एचबीओ लॉग-इन के रूप में मजाक में साझा किया


दोनों क्रेडेंशियल्स को Google क्रोम के पासवर्ड चेकअप के साथ-साथ हैव आई बीन प्वॉड डेटाबेस द्वारा लीक के रूप में चिह्नित किया गया है।


एनआईएसटी के सलाहकार और एजेंसी के प्रमाणीकरण दिशानिर्देशों के सह-लेखक जिम फेंटन ने कहा, "ऐसा नहीं लगता कि उन्होंने मूल बातें भी की हैं।" "यदि आप पासवर्ड 'पासवर्ड' का उपयोग कर सकते हैं, तो यह बहुत अच्छा नहीं है।"


Life360 के पूर्व कर्मचारियों में से एक ने द मार्कअप को बताया कि खातों के लिए ईमेल सत्यापन के बारे में एक आंतरिक बहस हुई थी। ईमेल पता सत्यापित करने से धोखाधड़ी और बॉट्स को किसी सेवा को स्पैम करने से रोकने में मदद मिलती है, और यह उपयोगकर्ताओं को किसी के नाम से साइन अप करने से बचाता है।


Life360 के पूर्व कर्मचारी ने कहा कि कंपनी ने लोगों के लिए साइन अप करना आसान बनाने के लिए इस उपाय के खिलाफ फैसला किया।


हमने यह सुनिश्चित करने के लिए कि वे वास्तविक ईमेल पते हैं, हमने कोई सत्यापन ईमेल प्राप्त किए बिना अपने Life360 खातों के ईमेल को कई बार बदला है। साइन अप करते समय हमें कभी भी सत्यापन ईमेल प्राप्त नहीं हुए।

हमने क्या पाया

यह क्यों मायने रखती है

बहुकारक प्रमाणीकरण की कमी

मल्टीफ़ैक्टर प्रमाणीकरण एक हमलावर को केवल आपका पासवर्ड रखने से आपके खातों में लॉग इन करने में सक्षम होने से रोकता है। इसके लिए आमतौर पर दूसरी प्रमाणीकरण विधि की आवश्यकता होती है, जो टेक्स्ट संदेश या प्रमाणीकरण ऐप से अस्थायी कोड या यूएसबी सुरक्षा कुंजी की तरह एक भौतिक टोकन हो सकता है।

कोई लॉग-इन प्रयास सीमा नहीं

प्रयास सीमाएं हमलावरों को अनंत अनुमान लगाने से रोकती हैं जब तक कि वे आपके पासवर्ड का सही अनुमान नहीं लगा लेते। हैकर्स अक्सर ऐसा करने के लिए बॉट्स का उपयोग करते हैं और अंततः बिना प्रयास सीमा के अधिकांश पासवर्ड को क्रैक कर सकते हैं। हम बिना किसी चेतावनी के 500 बार गलत पासवर्ड आज़माने में सक्षम थे ("मैं मानव हूँ" लेबल वाले प्रारंभिक चेकबॉक्स की जाँच करने के बाद)।

पासवर्ड परिवर्तन सूचनाओं की कमी

पासवर्ड बदलने की सूचनाएं उपयोगकर्ताओं को उनकी सहमति के बिना उनके क्रेडेंशियल बदलने पर चेतावनी देती हैं। एक बार पासवर्ड बदलने के बाद Life360 अन्य सभी सत्रों को लॉग आउट कर देता है, लेकिन ऐसा होने पर मूल स्वामी को कभी सूचित नहीं किया जाता है। यदि हमलावर वास्तविक उपयोगकर्ता से पहले पासवर्ड बदल देता है, तो वास्तविक उपयोगकर्ता प्रभावी रूप से अपने स्वयं के खातों से लॉक हो जाएगा।

कमजोर पासवर्ड शक्ति आवश्यकताएँ

आपका पासवर्ड जितना लंबा होगा, किसी बॉट को क्रैक करना या किसी व्यक्ति के लिए अनुमान लगाना उतना ही कठिन होगा। NIST और OWASP दोनों कम से कम आठ वर्णों वाले पासवर्ड की सलाह देते हैं। Life360 के लिए कम से कम छह वर्णों की आवश्यकता थी।

सामान्य पासवर्ड या ज्ञात भंग क्रेडेंशियल्स का उपयोग करते समय कोई चेतावनी नहीं

कई डेटा उल्लंघन पिछले डेटा उल्लंघनों से आमतौर पर उपयोग किए जाने वाले पासवर्ड का उपयोग करने का परिणाम हैं। हम अपने पासवर्ड को "पासवर्ड" और "123456" पर सेट करने में सक्षम थे, जो उल्लंघनों में पाए जाने वाले दो सबसे आम पासवर्ड हैं।

अन्य सत्रों या समीक्षा गतिविधि को सीधे लॉग आउट करने की कोई क्षमता नहीं है

अन्य लॉग-इन सत्रों को लॉग आउट करने का एकमात्र तरीका अपना खाता पासवर्ड रीसेट करना है। एक ही खाते से दो उपकरणों को एक साथ लॉग इन करना संभव है, जो किसी व्यक्ति के सटीक स्थान और हाल के स्थान इतिहास को प्रकट कर सकता है। एक खाता गतिविधि लॉग उपयोगकर्ताओं को संदिग्ध लॉगिन गतिविधि देखने देगा।


क्रेडिट: अल्फ्रेड एनजी और जॉन कीगन


Unsplash . पर तौफीकू बरभुइया द्वारा फोटो


यहाँ भी प्रकाशित