paint-brush
Life360 は、ユーザーの機密データを危険にさらす可能性があります@TheMarkup
24,315 測定値
24,315 測定値

Life360 は、ユーザーの機密データを危険にさらす可能性があります

The Markup7m2022/09/10
Read on Terminal Reader
Read this story w/o Javascript

長すぎる; 読むには

Life360 は、家族が愛する人の居場所を把握するための位置追跡アプリです。マークアップは、Open Web Application Security Project (OWASP) によって公開された一連の標準に対してアプリをテストしました. アプリは、失敗したログイン試行の制限や検証などの重要なセキュリティ機能について実施できた 19 のテストのうち 6 つに合格しませんでした.侵害された一連の資格情報に対してパスワードがチェックされること。 Life360 は、「経験豊富なセキュリティ チームがあり、内部監査と外部監査の両方を実施している」と述べています。
featured image - Life360 は、ユーザーの機密データを危険にさらす可能性があります
The Markup HackerNoon profile picture

ファミリー セーフティ アプリの Life360 には、ハッカーがアカウントを乗っ取って機密情報にアクセスするのを防ぐための標準的なガードレールがいくつかないことが、The Markup によって判明しました。


140 か国で 3,500 万人以上が利用するこのサービスは、家族が愛する人の居場所を把握するための位置追跡アプリです。このアプリは、グループ メンバー間でリアルタイムの位置情報を共有するだけでなく、自宅や職場などのマークされた場所も共有します。


一連のテストを通じて、Life360 は潜在的なハッカーを阻止するためのいくつかの基本的なセキュリティ対策を提供していないことがわかりました。


マークアップは、アプリのセキュリティ標準を促進する非営利団体である Open Web Application Security Project (OWASP) によって公開された一連の標準に対して Life360 アプリをテストしました。


この組織のApplication Security Verification Standard (ASVS) は任意の業界ガイドラインであり、ユーザー認証の連邦標準であるNational Institute of Standards and Technology (NIST) の Digital Identity Guidelinesにも厳密に従っています。


Life360 のアプリは、失敗したログイン試行の制限や、一連の侵害された資格情報に対してパスワードがチェックされていることの確認など、重要なセキュリティ機能について実施できた 19 のテストのうち 6 つに合格しなかったことがわかりました。


Life360 は、他の 11 の ASVS テストに合格しました。たとえば、ユーザーがパスワードを変更でき、64 文字を超えるパスワードを使用できることを確認しました。 Life360 は、アカウントの変更がユーザーに通知されるかどうかを確認する 2 つの追加テストに部分的に合格しました。


アプリは、複数のデバイスからのログインとパスワードのリセット要求についてユーザーに通知しましたが、アカウントの電子メール アドレス、電話番号、またはパスワードが変更されたときは通知しませんでした。テストの完全な結果は、こちらでご覧いただけます


「あなたの一連の質問に含まれる暗黙の告発には強く同意しません。経験豊富なセキュリティ チームがあり、プラットフォームの内部監査と外部監査の両方を実施しています。さらに、バグ報奨金プログラムをホストし、継続的な侵入テストを実行しています」と、Life360 のセキュリティおよびクラウド運用の責任者である Chris Robertson 氏は、The Markup への電子メールで述べています。


テストの 1 つとして、Life360 の Web サイトのアカウントの 1 つに、16 分強で 500 回以上間違ったパスワードを使用してログインを試みるスクリプトをセットアップしました (「私は人間です」という最初のチェックボックスをオンにした後)。


501 回目の試行で正しいパスワードを入力すると、ログインできました。また、アプリを介してこのテストを手動で行い、間違ったパスワードで 100 回以上試行に失敗し、その後正しいパスワードで試行に成功しました。


どちらの場合も、Life360 は今後のログイン試行をブロックすることはなく、正しいパスワードを入力するとすぐにアクセスを許可しました.


ASVS の標準では、1 つのアカウントで 1 時間あたり 100 回を超えるログイン試行の失敗を許可しないよう求めています。


プラットフォームの緩いパスワード ポリシー、ログイン試行制限の明らかな欠如、および 2 要素認証の欠如は、プラットフォームが使用する正確なリアルタイムの位置データの機密性と、ユーザーの中に子供がいるという事実を考慮すると注目に値します.


The Markup は以前、Life360 の位置データの膨大なコレクションにより、位置データ業界の生データの最大のサプライヤーの 1 つになったと報告しました。 1 月に、 同社は (Allstate の Arity を除く) 正確な位置データの販売を停止することを発表しましたが、集約された位置データは引き続き Placer AI に提供します。


ASVS のプロジェクト マネージャーである Jim Manico 氏は、次のように述べています。


Life360 のユーザーは、ソーシャル メディアの複数の投稿や、Google Play および iOS アプリ ストアの Life360 アプリのレビューで、不正なログインについて不満を漏らしています。何人かのユーザーは、ハッカーが自分のアカウントにログインし、リアルタイムの場所、自宅などのマークされた場所、または愛する人のリアルタイムの場所を表示できたと主張しました.


Life360 は、見つけたアプリ ストアの各レビューに返信し、ユーザーをサポート チームに誘導しました。


レビュー担当者は、コメントの複数のリクエストに応答しませんでした. 「ハッキングされたアカウントの報告は非常にまれであり、通常、家族が友人などの誰かを家族の共有アカウントに招待した結果です」と、Life360 の Robertson 氏は述べています。


Life360 の元従業員は The Markup に、Life360 の幹部はセキュリティの問題を十分に認識していたが、未処理のセキュリティ改善に対処するよりも、成長と新しいユーザー機能を選択したと語った.元従業員は、まだデータ業界で働いているため、匿名を条件に The Markup に話を聞きました。


Life360 は最近、ID 盗難防止、信用監視、データ侵害通知など、ユーザーのデジタルの安全性を確保する方法としての地位を確立し始めました。 Life360 はそのマーケティング言語で、ユーザーに「私たちはあなたのデータを保護するので、あなたがより多くの生活を送って心配を減らすことができるようにします」と約束し、「毎年最大 100 万人の子供」がハッキングや個人情報の盗難の犠牲になっていることを指摘しています。


同社はまた、マーケティング資料で共有しているセキュリティに関するアドバイスにも従っていません。 Life360 の Web サイトに投稿されたでは、パスワードを 12 文字以上に設定することをユーザーに推奨しています。 Life360 では、パスワードに 6 文字のみが含まれている必要があります。


専門家は、特に、人々が互いの位置を追跡できるようにするアプリは悪用される可能性があると警告しています。


コーネル工科大学の准教授であり、Clinic to End Tech Abuse の共同創設者である Thomas Ristenpart 氏は、虐待的なパートナーが共有アカウントへのアクセスを使用して、生存者を追跡したり嫌がらせをしたりすることがあります。


Life360 がストーカーに悪用された例は見たことがありませんが、Ristenpart 氏は、リアルタイムの位置データを提供するアプリは懸念材料であると述べています。彼の仕事では、生存者を追跡しストーキングする虐待的なパートナーによって位置監視ツールが使用されていることを認識していると彼は言いました。


「Life360 のようなアプリがインストールされているか探します。それらを見つけたら、クライアントが何をしたいのかについてクライアントと話し合います」と Ristenpart 氏は言います。


アカウントのセキュリティを改善することは、多くの場合、Ristenpart がテクノロジー企業に行う最大の推奨事項である、と彼は言いました。


アカウントの乗っ取りを防ぐためのセキュリティ機能として、 2 要素認証を要求する企業が増えています。 2 月に Google は、デフォルトで 2 要素認証を有効にした後、アカウントの乗っ取りが 50% 減少したと報告しました。 Amazon が所有するドアベル会社である Ring は、 ハッカーが所有者に嫌がらせをするためにカメラを乗っ取った後、 必須の 2 要素認証を有効にしました。


専門家は、ユーザーが「123456」や「password」などの明白なパスワードを作成できないようにすることも重要であると述べていますが、Life360 はこれを行っていません。このアプリは、流出したことで有名なパスワード「password1」とメール ログイン「[email protected]」にもフラグを立てられませんでした。これは、コメディアンのアンディ サンバーグが 2015 年のエミー賞でHBO のログインとして冗談めかして共有したものです。


両方の資格情報は、 Google Chrome のパスワード チェックアップと、 Have I Been Pwned データベースによって漏洩としてフラグが立てられました。


NIST のコンサルタントであり、NIST の認証ガイドラインの共著者である Jim Fenton 氏は、次のように述べています。 「パスワード 'password' を使用できる場合、それは素晴らしいことではありません。」


Life360 の元従業員の 1 人は、アカウントの電子メール認証について社内で議論があったと The Markup に語っています。メールアドレスを確認することで、詐欺やボットによるサービスのスパムを防ぎ、ユーザーが自分の名前で誰かにサインアップさせられるのを防ぐことができます。


Life360 の元従業員は、人々が簡単にサインアップできるようにするために、同社はこの措置に反対する決定を下したと語った。


Life360 アカウントの電子メールを何度も変更しましたが、検証電子メールを受信せずに、それらが実際の電子メール アドレスであることを確認しました。また、サインアップ時に検証メールを受信したこともありません.

私たちが見つけたもの

重要な理由

多要素認証の欠如

多要素認証は、攻撃者がパスワードだけでアカウントにログインできないようにします。通常、2 番目の認証方法が必要です。これは、テキスト メッセージまたは認証アプリからの一時的なコード、または USB セキュリティ キーなどの物理トークンです。

ログイン試行制限なし

試行制限により、攻撃者がパスワードを正しく推測するまで無限に推測できなくなります。ハッカーはボットを使用してこれを行うことが多く、最終的には試行制限なしでほとんどのパスワードをクラックできます。警告なしで 500 回間違ったパスワードを試すことができました (「私は人間です」という最初のチェックボックスをオンにした後)。

パスワード変更通知の欠如

パスワード変更通知は、認証情報が同意なしに変更された場合にユーザーに警告します。パスワードが変更されると、Life360 は他のすべてのセッションをログアウトしますが、元の所有者には通知されません。攻撃者が実際のユーザーより先にパスワードを変更した場合、実際のユーザーは自分のアカウントから効果的にロックアウトされます。

パスワードの強度要件が弱い

パスワードが長いほど、ボットがクラックしたり、推測したりするのが難しくなります。 NIST と OWASP はどちらも、8 文字以上のパスワードを推奨しています。 Life360 の要件は、6 文字以上でした。

一般的なパスワードまたは既知の侵害された資格情報を使用する場合に警告なし

多くのデータ侵害は、過去のデータ侵害で一般的に使用されたパスワードが悪用された結果です。パスワードを「password」と「123456」に設定することができました。これらは、侵害で最も一般的なパスワードの 2 つです。

他のセッションを直接ログアウトしたり、アクティビティを確認したりすることはできません

他のログイン セッションからログアウトする唯一の方法は、アカウントのパスワードをリセットすることです。 2 つのデバイスが同じアカウントで同時にログインしている可能性があり、これにより、人の正確な位置と最近の位置履歴が明らかになる可能性があります。アカウント アクティビティ ログにより、ユーザーは疑わしいログイン アクティビティを探すことができます。


クレジット: Alfred NgJon Keegan


UnsplashのTowfiqu barbhuiya による写真


こちらにも掲載