paint-brush
Life360 可能会使其用户的敏感数据面临风险经过@TheMarkup
24,315 讀數
24,315 讀數

Life360 可能会使其用户的敏感数据面临风险

经过 The Markup7m2022/09/10
Read on Terminal Reader
Read this story w/o Javascript

太長; 讀書

Life360 是一款位置跟踪应用程序,供家庭密切关注亲人的下落。标记针对开放 Web 应用程序安全项目 (OWASP) 发布的一系列标准对应用程序进行了测试 该应用程序未能通过我们能够针对重要安全功能进行的 19 项测试中的 6 项,例如限制失败的登录尝试和验证根据一组泄露的凭据检查密码。 Life360 表示它拥有“经验丰富的安全团队,并进行内部和外部审计”
featured image - Life360 可能会使其用户的敏感数据面临风险
The Markup HackerNoon profile picture

The Markup 发现,家庭安全应用 Life360 没有一些标准护栏来防止黑客接管帐户并访问敏感信息。


这项服务被 140 个国家的超过 3500 万人使用,是一个位置跟踪应用程序,供家庭密切关注亲人的下落。该应用程序在群组成员之间共享实时位置以及标记的位置,例如家庭和工作场所。


通过一系列测试,我们发现 Life360 没有提供一些基本的安全措施来阻止潜在的黑客,包括限制失败的登录尝试和为帐户提供双重身份验证。


Markup 根据开放 Web 应用程序安全项目 (OWASP) 发布的一系列标准对 Life360 应用程序进行了测试,OWASP 是一个促进应用程序安全标准的非营利基金会。


该组织的应用程序安全验证标准(ASVS) 是一项自愿性行业指南,并且严格遵循美国国家标准与技术研究院 (NIST) 的数字身份指南,这是用于用户身份验证的联邦标准。


我们发现 Life360 的应用程序未能通过我们能够针对重要安全功能进行的 19 项测试中的 6 项测试,例如限制失败的登录尝试和验证密码是否已针对一组被泄露的凭据进行检查。


Life360 确实通过了其他 11 项 ASVS 测试——例如,我们验证了用户能够更改他们的密码并且可以使用超过 64 个字符的密码。 Life360 部分通过了两项额外测试,以检查用户是否收到有关帐户更改的通知。


我们发现该应用程序通知用户有关从多个设备登录和密码重置请求,但在帐户的电子邮件地址、电话号码或密码更改时没有通知。您可以在此处查看我们测试的完整结果。


“我们强烈不同意你一系列问题中隐含的指控。我们拥有一支经验丰富的安全团队,并对我们的平台进行内部和外部审计。此外,我们还举办了一个漏洞赏金计划并进行持续的渗透测试,”Life360 的安全和云运营负责人 Chris Robertson 在给 The Markup 的电子邮件声明中说。


在其中一项测试中,我们设置了一个脚本,试图在 16 分钟内使用错误密码登录我们在 Life360 网站上的一个帐户超过 500 次(在选中标有“我是人类”的初始复选框后)。


当我们在第 501 次尝试输入正确密码时,它允许我们登录。我们还通过应用程序手动进行了此测试,尝试使用错误密码失败了 100 多次,然后使用正确密码尝试成功。


在这两种情况下,Life360 都不会阻止未来的登录尝试,一旦我们输入正确的密码,就会立即允许访问。


ASVS 标准要求在单个帐户上每小时允许不超过 100 次失败的登录尝试。


考虑到其使用的精确、实时位置数据的敏感性以及其用户中有儿童这一事实,该平台的密码政策松懈、明显缺乏登录尝试限制以及缺乏双重身份验证是值得注意的。


Markup 此前报道称,Life360 的大量位置数据使其成为位置数据行业最大的原始数据供应商之一。 1 月份,该公司宣布将停止销售精确的位置数据(除了 Allstate 的 Arity),但仍会向 Placer AI 公司提供汇总的位置数据。


“一个处理儿童信息的应用程序至少没有提供多因素[身份验证],这是直接的疏忽,”ASVS 的项目经理 Jim Manico 说。


Life360 用户在社交媒体上的多个帖子中以及在 Google Play 和 iOS 应用商店中对 Life360 应用的评论中抱怨未经授权的登录。一些用户声称,黑客已经登录了他们的账户,并且能够查看他们的实时位置、他们标记的地方(如他们的家)或他们所爱的人的实时位置。


Life360 确实回复了我们发现的每条应用商店评论,将用户引导至他们的支持团队。


审稿人没有回应多次评论请求。 Life360 的罗伯逊说:“关于被黑账户的报告极为罕见,通常是家庭成员邀请某人(例如朋友)加入他们共享的家庭账户的结果。”


Life360 的前员工告诉 The Markup,Life360 的高管们很清楚安全问题,但他们选择了增长和新的用户功能,而不是处理积压的安全改进。前雇员在不愿透露姓名的情况下接受了 The Markup 的采访,因为他们仍在数据行业工作。


Life360 最近开始将自己定位为确保用户数字安全的一种方式,包括身份盗窃保护、信用监控和数据泄露通知。 Life360 在其营销语言中向用户承诺,“我们保护您的数据,让您可以活得更久,更省心”,并指出“每年有多达 100 万儿童”成为黑客和身份盗窃的受害者。


该公司也没有遵循其在营销材料中分享的安全建议。在发布到 Life360 网站的中,它建议用户设置至少 12 个字符的密码。 Life360 只要求密码包含六个字符。


专家警告说,允许人们追踪彼此位置的应用程序可能会被滥用。


康奈尔科技大学副教授、终结技术滥用诊所的联合创始人托马斯·里斯滕帕特说,虐待的合作伙伴有时会使用共享账户的访问权限来跟踪和骚扰幸存者,而跟踪应用程序是这一问题的重要组成部分。


虽然他没有看到 Life360 被跟踪者滥用的例子,但 Ristenpart 表示,任何提供实时位置数据的应用程序都值得关注。他说,在他的工作中,他知道跟踪和跟踪幸存者的虐待伙伴正在使用位置监控工具。


“我们确实会寻找安装了 Life360 之类的应用程序。如果我们找到他们,那么我们确实会与客户讨论他们想要做什么,”Ristenpart 说。


他说,提高账户安全性通常是 Ristenpart 向科技公司提出的首要建议。


越来越多的公司要求将双重身份验证作为一种安全功能,以防止帐户被接管。 2 月,谷歌报告称,在默认启用双因素身份验证后,帐户接管次数下降了 50% 。在黑客劫持摄像头骚扰业主后,亚马逊旗下的门铃公司 Ring 启用了强制性的两因素身份验证


专家表示,防止用户创建明显的密码,如“123456”和“密码”——Life360 不会这样做——也很重要。该应用程序还未能标记出著名的密码“password1”和电子邮件登录名“[email protected]”,喜剧演员安迪·萨姆伯格开玩笑地分享了他在 2015 年艾美奖颁奖典礼上的 HBO 登录名


谷歌浏览器的密码检查Have I Been Pwned 数据库都将这两个凭据标记为泄露。


NIST 的顾问、该机构认证指南的合著者 Jim Fenton 说:“听起来他们连最基本的都没有完成。” “如果你可以使用密码‘password’,那就不好了。”


一位前 Life360 员工告诉 The Markup,内部就帐户电子邮件验证进行了辩论。验证电子邮件地址有助于防止欺诈和机器人向服务发送垃圾邮件,并防止用户以他们的名义注册。


这位前 Life360 员工表示,公司决定不采取这项措施,以使人们更容易注册。


我们多次更改 Life360 帐户的电子邮件,但没有收到任何验证电子邮件,以确保它们是真实的电子邮件地址。注册时我们也从未收到过验证电子邮件。

我们发现了什么

为什么重要

缺乏多因素身份验证

多因素身份验证可防止攻击者仅凭您的密码即可登录您的帐户。它通常需要第二种身份验证方法,可以是来自短信或身份验证应用程序的临时代码,也可以是 USB 安全密钥等物理令牌。

没有登录尝试限制

尝试限制可防止攻击者进行无限量的猜测,直到他们正确猜出您的密码。黑客通常会使用机器人来执行此操作,并且最终可以在没有尝试限制的情况下破解大多数密码。我们可以尝试错误密码 500 次而没有任何警告(在选中标有“我是人类”的初始复选框后)。

缺少密码更改通知

当未经用户同意更改其凭据时,密码更改通知会警告用户。一旦密码更改,Life360 会注销所有其他会话,但在发生这种情况时不会通知原始所有者。如果攻击者在真实用户之前更改密码,则真实用户将被有效地锁定在他们自己的帐户之外。

弱密码强度要求

您的密码越长,机器人破解或人猜测的难度就越大。 NIST 和 OWASP 都建议使用至少八个字符的密码。 Life360 的要求是至少六个字符。

使用常用密码或已知的泄露凭据时不会发出警告

许多数据泄露是利用过去数据泄露中常用密码的结果。我们能够将密码设置为“password”和“123456”,这是在违规中发现的两个最常见的密码。

无法直接注销其他会话或查看活动

退出其他登录会话的唯一方法是重置您的帐户密码。可以让两台设备同时使用同一个帐户登录,这可以揭示一个人的确切位置和最近的位置历史。帐户活动日志可以让用户查找可疑的登录活动。


致谢: Alfred NgJon Keegan


照片由Towfiqu barbhuiyaUnsplash上拍摄


也在这里发布