Aplicación de protección de menores expone decenas de miles de contraseñas sin cifrar

Se han descubierto serias fallas de seguridad en una aplicación para iOS y Android que ofrece protección a los menores en Internet. Al menos dos servidores de TeenSafe, una aplicación que permite a los padres controlar las actividades de sus hijos en sus teléfonos, han dejado expuestas las cuentas de decenas de miles de usuarios sin ninguna contraseña ni mecanismo de cifrado.

Las contraseñas expuestas se encontraban escritas en texto legible y estaban acompañadas de información adicional de los menores y sus padres, que incluye sus cuentas de correo electrónico personales y vinculadas a Apple ID. Los registros también incluían el nombre del dispositivo y su código de identificación único.

La amenaza fue descubierta por el investigador de seguridad británico Robert Wiggins, que encontró dos servidores inseguros de TeenSafe que exponían 10.200 registros de los últimos tres meses, aunque algunos de ellos estaban duplicados. El investigador no puede confirmar si éste fue todo el alcance de la amenaza, ya que es posible que existan todavía más servidores vulnerables que no han sido descubiertos.

La aplicación TeenSafe exige que la autentificación de dos factores de los teléfonos esté desactivada para poder funcionar, así que la información expuesta sería suficiente para que cualquier usuario malicioso ingrese a la cuenta Apple ID de los internautas.

Aunque los servidores desprotegidos no incluían fotos, mensajes o datos que especificaran la ubicación de los usuarios, las contraseñas de TeenSafe y Apple ID que exponían ponen a los internautas en riesgo de ser blanco de otros ataques en los que sí se tenga acceso a sus cuentas e información de este tipo.

TeenSafe es un programa que ofrece sus servicios a más de 1 millón de padres para ayudarles a vigilar las actividades de sus hijos. La aplicación les permite vigilar los mensajes de texto de sus hijos, su historial de navegación, sus registros de llamadas, contactos, aplicaciones de terceros y mensajes en WhatsApp y Kik. Por lo tanto, cualquier cibercriminal que consiga las contraseñas de TeenSafe también podría tener acceso a estos datos.

“Hemos cerrado uno de nuestros servidores al público y hemos comenzado a alertar a los clientes que podrían sufrir las consecuencias de este hecho”, dijo un portavoz de TeenSafe a ZDNet, el portal que dio a conocer la situación.

Fuentes
Teen phone monitoring app leaked thousands of user passwords • ZDNet
TeenSafe phone-monitoring app leaks ‘tens of thousands’ of accounts • Digital Trends
Teen monitoring app used by parents reportedly leaked Apple ID passwords • Mashable