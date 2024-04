Al giorno d’oggi i dispositivi tecnologici non vengono utilizzati solo da adulti e adolescenti, anche i bambini ormai fruiscono di smartphone e tablet sia per l’intrattenimento domestico che per la scuola; per questo motivo molti genitori si affidano a sistemi per il controllo parentale, nel tentativo non solo di tutelare i propri figli dall’accesso a contenuti inappropriati, ma spesso anche con fini di monitoraggio della posizione.

Nel panorama Android sono disponibili una miriade di strumenti per il parental control, la stessa Google fornisce ai propri utenti Family Link, un servizio molto utile per tutti i genitori che vogliono tutelare i propri figli dalle insidie della rete.

Nelle ultime ore i colleghi di Cybernews hanno condiviso i risultati, alquanto inquietanti, di uno studio effettuato dal loro team di ricerca: è emerso che una famosa app dedicata al controllo parentale ha fatto trapelare informazioni sensibili sui bambini, come posizioni GPS e messaggi privati. Vediamo insieme qualche dettaglio.

L’app KidSecurity per il controllo parentale ha condiviso sul web tutta una serie di dati sensibili sui bambini

Partiamo subito specificando che, in questo caso, la vicenda non è legata ad un attacco hacker: nessuno ha bucato i sistemi della società che sviluppa e gestisce l’applicazione per il controllo parentale in questione, ma la causa principale è semplicemente una “svista” da parte del team di sviluppatori, o comunque una non adeguata prassi nella gestione dei propri sistemi.

In più, oltre al caso che stiamo per esporvi, c’è un altro episodio avvenuto lo scorso anno durante il quale la stessa app, a causa di una errata gestione dei propri sistemi, aveva fatto trapelare oltre 300 milioni di record con dati privati ​​degli utenti, inclusi 21.000 numeri di telefono, 31.000 indirizzi e-mail e informazioni di pagamento parziali.

La scoperta effettuata dal team di ricercatori risale al 7 febbraio 2024 e, nel tempo intercorso, la società dietro all’app di controllo parentale con sede in Kazakistan non ha rilasciato alcuna dichiarazione in merito; l’app KidSecurity vanta sul Play Store oltre un milione di download e fornisce servizi per tracciare la posizione dei propri figli, controllare le interazioni digitali e ascoltare i suoni intorno al bambino per garantire la sicurezza.

I ricercatori hanno scoperto che l’app ha fatto trapelare in rete un quantitativo enorme di dati sensibili, tra cui:

Messaggi sui social media dei minori, inclusi Instagram, WhatsApp, Telegram, Viber e Vkontakte

Indirizzi email dei genitori

Indirizzi IP

Informazioni sull’App Store: paese, paese del profilo, valute utilizzate per le transazioni, date di inizio e scadenza dell’abbonamento

Elenchi di app installate sui telefoni e relative statistiche di utilizzo

Premi concessi ai bambini per aver completato compiti come svolgere lavori domestici o partecipare a sport

Registrazioni audio dell’ambiente dei minori

Numeri IMEI

Posizioni dei dispositivi

Livelli della batteria del dispositivo

Altri metadati inviati periodicamente

Come potete notare, si tratta di dati che non andrebbero assolutamente condivisi con nessuno e, sebbene in alcuni casi questi dati fossero resi anonimi e non potessero quindi essere associati direttamente a un bambino specifico, in altri casi le e-mail dei genitori, i registri dei messaggi ricevuti sui social media e i numeri IMEI che identificano i dispositivi e la loro posizione erano tranquillamente visibili in chiaro.

La gravità dell’intera questione si evince dal fatto che questa tipologia di dati può essere tranquillamente utilizzata per individuare i minori, considerando anche che molte delle chat di gruppo trapelate erano intitolate con nomi di scuole e designazioni di classi specifiche. L’applicazione per il controllo parentale inoltre, vanta una funzionalità chiamata “Sound Around”, utilizzabile dai genitori per ascoltare ciò che accade intorno ai loro figli: ovviamente, anche questa tipologia di dati è trapelata online consentendo a chiunque di ascoltare quelle registrazioni, prefigurando di conseguenza una grave violazione della privacy non solo dei bambini che avevano installato l’app, ma anche di tutti coloro intorno.

Secondo quanto emerso dalle analisi dei ricercatori, la maggior parte degli utilizzatori proviene prevalentemente dalla Federazione Russa, dall’Europa dell’Est e dal Medio Oriente, ma l’applicazione vanta utenti da ogni parte del mondo. Quando i ricercatori hanno individuato il problema, il sistema aveva già archiviato oltre 100 GB di informazioni nella sua cache e, in un’ora di osservazioni, hanno ricevuto 456.000 messaggi privati ​​inviati tramite app di social media sui telefoni di minori e statistiche sull’utilizzo delle applicazioni da 11.000 telefoni. Considerando che il problema persiste da circa un anno, potete ben immaginare la portata della vicenda.

Per concludere e senza entrare troppo nel tecnico, il tutto sembra sia dovuto come già detto non ad un attacco hacker, ma ad una svista degli sviluppatori: il problema sembra riconducibile ad un Kafka Broker Cluster aperto (Kafka è una piattaforma open source progettata per facilitare la trasmissione di dati in tempo reale tra sistemi), in pratica gli sviluppatori dell’app per il controllo parentale in questione non hanno monitorato attivamente queste parti del loro sistema, lasciando la trasmissione dei dati aperta e alla mercé di tutti.