paint-brush
Life360 có khả năng để lại rủi ro cho dữ liệu nhạy cảm của người dùngtừ tác giả@TheMarkup
24,328 lượt đọc
24,328 lượt đọc

Life360 có khả năng để lại rủi ro cho dữ liệu nhạy cảm của người dùng

từ tác giả The Markup7m2022/09/10
Read on Terminal Reader
Read this story w/o Javascript

dài quá đọc không nổi

Life360 là một ứng dụng theo dõi vị trí dành cho các gia đình để theo dõi nơi ở của những người thân yêu của họ. Đánh dấu đã kiểm tra ứng dụng theo một loạt tiêu chuẩn do Dự án bảo mật ứng dụng web mở (OWASP) công bố. Ứng dụng không vượt qua được sáu trong số 19 bài kiểm tra mà chúng tôi có thể thực hiện đối với các tính năng bảo mật quan trọng như hạn chế các lần đăng nhập không thành công và xác minh mật khẩu được kiểm tra dựa trên một tập hợp các thông tin xác thực bị vi phạm. Life360 cho biết họ có "đội ngũ bảo mật giàu kinh nghiệm và tiến hành cả kiểm tra nội bộ và bên ngoài"
featured image - Life360 có khả năng để lại rủi ro cho dữ liệu nhạy cảm của người dùng
The Markup HackerNoon profile picture

Ứng dụng an toàn dành cho gia đình Life360 không có một số lan can tiêu chuẩn để ngăn tin tặc chiếm tài khoản và truy cập thông tin nhạy cảm, The Markup nhận thấy.


Dịch vụ được hơn 35 triệu người ở 140 quốc gia sử dụng, là một ứng dụng theo dõi vị trí dành cho các gia đình để theo dõi nơi ở của người thân. Ứng dụng chia sẻ vị trí theo thời gian thực giữa các thành viên trong nhóm cũng như các vị trí được đánh dấu như nhà riêng và nơi làm việc.


Thông qua một loạt các thử nghiệm, chúng tôi nhận thấy rằng Life360 không cung cấp một số biện pháp bảo mật cơ bản để ngăn chặn tin tặc tiềm năng, bao gồm hạn chế các nỗ lực đăng nhập không thành công và cung cấp xác thực hai yếu tố cho tài khoản.


Markup đã kiểm tra ứng dụng Life360 dựa trên một loạt tiêu chuẩn được xuất bản bởi Dự án bảo mật ứng dụng web mở (OWASP), một tổ chức phi lợi nhuận thúc đẩy các tiêu chuẩn bảo mật ứng dụng.


Tiêu chuẩn xác minh bảo mật ứng dụng (ASVS) của tổ chức là hướng dẫn tự nguyện của ngành và cũng tuân thủ chặt chẽ Nguyên tắc nhận dạng kỹ thuật số của Viện tiêu chuẩn và công nghệ quốc gia (NIST) , là các tiêu chuẩn liên bang về xác thực người dùng.


Chúng tôi nhận thấy rằng ứng dụng của Life360 không vượt qua được sáu trong số 19 bài kiểm tra mà chúng tôi có thể tiến hành đối với các tính năng bảo mật quan trọng như hạn chế các lần đăng nhập không thành công và xác minh rằng mật khẩu được kiểm tra dựa trên một bộ thông tin xác thực bị vi phạm.


Life360 đã vượt qua 11 bài kiểm tra ASVS khác — ví dụ: chúng tôi đã xác minh rằng người dùng có thể thay đổi mật khẩu của họ và có thể sử dụng mật khẩu có hơn 64 ký tự. Life360 đã vượt qua một phần hai bài kiểm tra bổ sung để kiểm tra xem người dùng có được thông báo về các thay đổi tài khoản hay không.


Chúng tôi nhận thấy ứng dụng đã thông báo cho người dùng về các lần đăng nhập từ nhiều thiết bị và yêu cầu đặt lại mật khẩu nhưng không phải khi địa chỉ email, số điện thoại hoặc mật khẩu của tài khoản bị thay đổi. Bạn có thể xem toàn bộ kết quả thử nghiệm của chúng tôi tại đây .


“Chúng tôi hoàn toàn không đồng ý với những cáo buộc ngụ ý trong hàng loạt câu hỏi của bạn. Chúng tôi có một đội ngũ bảo mật có kinh nghiệm cao và tiến hành kiểm tra cả nội bộ và bên ngoài đối với nền tảng của chúng tôi. Ngoài ra, chúng tôi tổ chức một chương trình tiền thưởng lỗi và chạy thử nghiệm thâm nhập liên tục, ”Chris Robertson, người đứng đầu bộ phận bảo mật và hoạt động đám mây của Life360, cho biết trong một tuyên bố gửi qua email cho The Markup.


Đối với một trong các thử nghiệm, chúng tôi đã thiết lập một tập lệnh cố gắng đăng nhập vào một trong các tài khoản của chúng tôi trên trang web Life360 bằng mật khẩu không chính xác hơn 500 lần chỉ trong hơn 16 phút (sau khi đánh dấu vào hộp kiểm đầu tiên có nhãn “Tôi là con người”).


Nó cho phép chúng tôi đăng nhập khi chúng tôi nhập đúng mật khẩu vào lần thử thứ 501. Chúng tôi cũng đã thực hiện kiểm tra này theo cách thủ công thông qua ứng dụng với hơn 100 lần thử không thành công với mật khẩu sai, sau đó là lần thử thành công với đúng mật khẩu.


Trong cả hai trường hợp, Life360 không bao giờ chặn các nỗ lực đăng nhập trong tương lai và ngay lập tức cho phép truy cập sau khi chúng tôi nhập đúng mật khẩu.


Tiêu chuẩn ASVS yêu cầu cho phép không quá 100 lần đăng nhập thất bại mỗi giờ trên một tài khoản.


Chính sách mật khẩu lỏng lẻo của nền tảng, thiếu giới hạn đăng nhập rõ ràng và không có xác thực hai yếu tố là đáng chú ý khi xét đến tính chất nhạy cảm của dữ liệu vị trí chính xác, thời gian thực mà nó sử dụng và thực tế là trẻ em nằm trong số những người dùng của nó.


Markup trước đây đã báo cáo rằng bộ sưu tập dữ liệu vị trí khổng lồ của Life360 đã khiến nó trở thành một trong những nhà cung cấp dữ liệu thô lớn nhất cho ngành dữ liệu vị trí. Vào tháng 1, công ty đã thông báo rằng họ sẽ ngừng bán dữ liệu vị trí chính xác (ngoại trừ cho Allstate's Arity) nhưng vẫn sẽ cung cấp dữ liệu vị trí tổng hợp cho công ty Placer AI.


Jim Manico, giám đốc dự án của ASVS cho biết: “Một ứng dụng xử lý thông tin con không ít nhất là cung cấp [xác thực] đa yếu tố, đó là sơ suất rõ ràng.


Người dùng Life360 đã phàn nàn về việc đăng nhập trái phép vào nhiều bài đăng trênmạng xã hội và trong các bài đánh giá cho ứng dụng Life360 trong kho ứng dụng Google Play và iOS. Một số người dùng tuyên bố rằng một tin tặc đã đăng nhập vào tài khoản của họ và có thể xem vị trí thời gian thực của họ, những địa điểm được đánh dấu như nhà riêng hoặc vị trí thời gian thực của người thân.


Life360 đã phản hồi từng bài đánh giá trên cửa hàng ứng dụng mà chúng tôi tìm thấy, hướng người dùng đến nhóm hỗ trợ của họ.


Những người đánh giá đã không trả lời nhiều yêu cầu bình luận. Robertson của Life360 cho biết: “Các báo cáo về tài khoản bị tấn công là cực kỳ hiếm và thường là kết quả của việc một thành viên trong gia đình mời một người nào đó, chẳng hạn như bạn bè, vào tài khoản gia đình được chia sẻ của họ.


Các cựu nhân viên của Life360 nói với The Markup rằng các giám đốc điều hành Life360 nhận thức rõ về các vấn đề bảo mật nhưng đã chọn sự phát triển và các tính năng người dùng mới thay vì xử lý tồn đọng các cải tiến bảo mật. Các nhân viên cũ đã nói chuyện với The Markup với điều kiện giấu tên vì họ vẫn đang làm việc trong ngành dữ liệu.


Life360 gần đây đã bắt đầu tự định vị như một cách để đảm bảo sự an toàn kỹ thuật số của người dùng, bao gồm bảo vệ chống trộm danh tính, giám sát tín dụng và thông báo vi phạm dữ liệu. Bằng ngôn ngữ tiếp thị của mình, Life360 hứa hẹn với người dùng, “Chúng tôi bảo vệ dữ liệu của bạn để bạn có thể sống nhiều hơn và bớt lo lắng hơn”, lưu ý rằng có tới “1 triệu trẻ em mỗi năm” là nạn nhân của các vụ hack và đánh cắp danh tính.


Công ty cũng không tuân theo lời khuyên bảo mật mà họ chia sẻ trong tài liệu tiếp thị của mình. Trong một được đăng lên trang web Life360, nó khuyến nghị người dùng đặt mật khẩu tối thiểu 12 ký tự. Life360 chỉ yêu cầu mật khẩu có sáu ký tự.


Các chuyên gia cảnh báo rằng các ứng dụng cho phép mọi người theo dõi vị trí của nhau, đặc biệt, có thể bị lạm dụng.


Thomas Ristenpart, phó giáo sư tại Cornell Tech và là đồng sáng lập của Clinic to End Tech Abuse, cho biết các đối tác lạm dụng đôi khi sẽ sử dụng quyền truy cập vào các tài khoản được chia sẻ để theo dõi và quấy rối những người sống sót.


Mặc dù chưa thấy các ví dụ về việc Life360 bị lạm dụng bởi những kẻ theo dõi, nhưng Ristenpart nói rằng bất kỳ ứng dụng nào cung cấp dữ liệu vị trí theo thời gian thực đều là nguyên nhân đáng lo ngại. Trong công việc của mình, anh ấy biết về các công cụ giám sát vị trí đang được sử dụng bởi các đối tác lạm dụng, những người theo dõi và theo dõi những người sống sót, anh ấy nói.


“Chúng tôi tìm kiếm các ứng dụng như Life360 đã được cài đặt. Nếu chúng tôi tìm thấy họ, thì chúng tôi sẽ thảo luận với khách hàng về những gì họ muốn làm, ”Ristenpart nói.


Cải thiện bảo mật tài khoản thường là khuyến nghị hàng đầu mà Ristenpart đưa ra cho các công ty công nghệ, ông nói.


Nhiều công ty đang yêu cầu xác thực hai yếu tố như một tính năng bảo mật để ngăn chặn việc chiếm đoạt tài khoản. Vào tháng 2, Google đã báo cáo việc tiếp quản tài khoản giảm 50% sau khi bật xác thực hai yếu tố theo mặc định. Ring, công ty chuông cửa thuộc sở hữu của Amazon, đã kích hoạt xác thực hai yếu tố bắt buộc sau khi tin tặc tấn công máy ảnh để quấy rối chủ sở hữu .


Các chuyên gia cho biết việc ngăn người dùng tạo mật khẩu rõ ràng như “123456” và “password” — mà Life360 không làm — cũng rất quan trọng. Ứng dụng cũng không gắn cờ mật khẩu vi phạm nổi tiếng, “password1” và email đăng nhập “[email protected]”, diễn viên hài Andy Sambergđã chia sẻ một cách đùa cợt khi đăng nhập HBO của anh ấy tại lễ trao giải Emmy 2015.


Cả hai thông tin đăng nhập đã bị đánh dấu bởi Kiểm tra mật khẩu của Google Chrome cũng như cơ sở dữ liệu Have I Been Pwned vì bị rò rỉ.


Jim Fenton, một nhà tư vấn cho NIST và là đồng tác giả của các hướng dẫn xác thực của cơ quan, cho biết: “Có vẻ như họ đã không làm ngay cả những điều cơ bản. “Nếu bạn có thể sử dụng mật khẩu 'password', điều đó không tuyệt vời."


Một trong những nhân viên cũ của Life360 nói với The Markup rằng đã có một cuộc tranh luận nội bộ về việc xác thực email cho các tài khoản. Việc xác minh địa chỉ email giúp ngăn chặn gian lận và bot gửi thư rác một dịch vụ và nó bảo vệ người dùng khỏi bị ai đó đăng ký bằng tên của họ.


Cựu nhân viên Life360 cho biết công ty đã quyết định chống lại biện pháp này để giúp mọi người đăng ký dễ dàng hơn.


Chúng tôi đã thay đổi email của tài khoản Life360 nhiều lần mà không nhận được bất kỳ email xác thực nào để đảm bảo rằng chúng là địa chỉ email thực. Chúng tôi cũng không bao giờ nhận được email xác thực khi đăng ký.

Những gì chúng tôi tìm thấy

Tại sao nó quan trọng

Thiếu xác thực đa yếu tố

Xác thực đa yếu tố ngăn kẻ tấn công có thể đăng nhập vào tài khoản của bạn chỉ bằng mật khẩu của bạn. Nó thường yêu cầu phương thức xác thực thứ hai, có thể là mã tạm thời từ tin nhắn văn bản hoặc ứng dụng xác thực hoặc mã thông báo vật lý như khóa bảo mật USB.

Không có giới hạn lần đăng nhập

Cố gắng giới hạn ngăn những kẻ tấn công đưa ra vô số lần đoán cho đến khi chúng đoán chính xác mật khẩu của bạn. Tin tặc thường sử dụng bot để làm điều này và cuối cùng có thể bẻ khóa hầu hết các mật khẩu mà không có giới hạn số lần thử. Chúng tôi đã có thể thử mật khẩu sai 500 lần mà không có cảnh báo (sau khi chọn hộp kiểm ban đầu có nhãn “Tôi là con người”).

Thiếu thông báo thay đổi mật khẩu

Thông báo thay đổi mật khẩu cảnh báo người dùng khi thông tin đăng nhập của họ bị thay đổi mà không có sự đồng ý của họ. Life360 đăng xuất tất cả các phiên khác sau khi thay đổi mật khẩu, nhưng chủ sở hữu ban đầu sẽ không bao giờ được thông báo khi điều đó xảy ra. Nếu kẻ tấn công thay đổi mật khẩu trước khi người dùng thực thực hiện, người dùng thực sẽ bị khóa tài khoản của chính họ.

Yêu cầu về độ mạnh của mật khẩu yếu

Mật khẩu của bạn càng dài, bot càng khó bẻ khóa hoặc một người khó đoán. NIST và OWASP đều đề xuất mật khẩu có ít nhất tám ký tự. Yêu cầu cho Life360 là ít nhất sáu ký tự.

Không có cảnh báo khi sử dụng mật khẩu phổ biến hoặc thông tin đăng nhập vi phạm đã biết

Nhiều vụ vi phạm dữ liệu là kết quả của việc khai thác mật khẩu thường được sử dụng từ các vụ vi phạm dữ liệu trong quá khứ. Chúng tôi có thể đặt mật khẩu của mình thành “password” và “123456”, hai trong số những mật khẩu phổ biến nhất được tìm thấy khi vi phạm.

Không có khả năng đăng xuất trực tiếp các phiên khác hoặc xem lại hoạt động

Cách duy nhất để đăng xuất các phiên đăng nhập khác là đặt lại mật khẩu tài khoản của bạn. Có thể có hai thiết bị đăng nhập đồng thời bằng cùng một tài khoản, điều này có thể tiết lộ vị trí chính xác của một người và lịch sử vị trí gần đây. Nhật ký hoạt động tài khoản sẽ cho phép người dùng tìm kiếm hoạt động đăng nhập đáng ngờ.


Tín dụng: Alfred NgJon Keegan


Ảnh của Towfiqu barbhuiya trên Unsplash


Cũng được xuất bản tại đây