paint-brush
Life360 potencialmente deixa os dados confidenciais de seus usuários em riscopor@TheMarkup
24,284 leituras
24,284 leituras

Life360 potencialmente deixa os dados confidenciais de seus usuários em risco

por The Markup7m2022/09/10
Read on Terminal Reader
Read this story w/o Javascript

Muito longo; Para ler

Life360 é um aplicativo de rastreamento de localização para as famílias manterem o controle sobre o paradeiro de seus entes queridos. The Markup testou o aplicativo em relação a uma série de padrões publicados pelo Open Web Application Security Project (OWASP). que as senhas são verificadas em um conjunto de credenciais violadas. Life360 diz que tem uma "equipe de segurança altamente experiente e realiza auditorias internas e externas"
featured image - Life360 potencialmente deixa os dados confidenciais de seus usuários em risco
The Markup HackerNoon profile picture

O aplicativo de segurança familiar Life360 não possui algumas proteções padrão para impedir que um hacker assuma uma conta e acesse informações confidenciais, descobriu o The Markup.


O serviço, usado por mais de 35 milhões de pessoas em 140 países, é um aplicativo de rastreamento de localização para as famílias manterem o controle sobre o paradeiro de seus entes queridos. O aplicativo compartilha a localização em tempo real entre os membros do grupo, bem como locais marcados, como residências e locais de trabalho.


Por meio de uma série de testes, descobrimos que o Life360 não fornece várias medidas básicas de segurança para impedir hackers em potencial, incluindo limitar tentativas de login com falha e fornecer autenticação de dois fatores para contas.


O Markup testou o aplicativo Life360 em relação a uma série de padrões publicados pelo Open Web Application Security Project (OWASP), uma fundação sem fins lucrativos que promove padrões de segurança de aplicativos.


O Padrão de Verificação de Segurança de Aplicativos (ASVS) da organização é uma diretriz voluntária do setor e também segue de perto as Diretrizes de Identidade Digital do Instituto Nacional de Padrões e Tecnologia (NIST) , que são padrões federais para autenticação do usuário.


Descobrimos que o aplicativo Life360 falhou em seis dos 19 testes que pudemos realizar para importantes recursos de segurança, como limitar as tentativas de login com falha e verificar se as senhas são verificadas em um conjunto de credenciais violadas.


O Life360 passou em outros 11 testes ASVS - por exemplo, verificamos que os usuários podem alterar suas senhas e usar senhas com mais de 64 caracteres. O Life360 passou parcialmente em dois testes adicionais que verificam se um usuário é notificado sobre alterações na conta.


Descobrimos que o aplicativo notificou os usuários sobre logins de vários dispositivos e solicitações de redefinição de senha, mas não quando o endereço de e-mail, número de telefone ou senha da conta foram alterados. Você pode ver os resultados completos de nossos testes aqui .


“Discordamos veementemente das acusações implícitas em sua série de perguntas. Temos uma equipe de segurança altamente experiente e realizamos auditorias internas e externas de nossa plataforma. Além disso, hospedamos um programa de recompensas por bugs e executamos testes de penetração contínuos”, disse Chris Robertson, chefe de segurança e operações de nuvem da Life360, em um comunicado enviado por e-mail ao The Markup.


Para um dos testes, configuramos um script que tentou fazer login em uma de nossas contas no site da Life360 usando senhas incorretas mais de 500 vezes em pouco mais de 16 minutos (depois de marcar uma caixa de seleção inicial chamada “Eu sou humano”).


Isso nos permitiu fazer login quando inserimos a senha correta na 501ª tentativa. Também fizemos esse teste manualmente pelo aplicativo com mais de 100 tentativas malsucedidas com a senha errada seguidas de uma tentativa bem-sucedida com a senha correta.


Em ambos os casos, o Life360 nunca bloqueou futuras tentativas de login e permitiu o acesso imediatamente assim que inserimos a senha correta.


O padrão ASVS exige não permitir mais de 100 tentativas de login com falha por hora em uma única conta.


As políticas de senha negligentes da plataforma, a aparente falta de limites de tentativas de login e a ausência de autenticação de dois fatores são notáveis, considerando a natureza sensível dos dados de localização precisos e em tempo real que ela usa e o fato de que crianças estão entre seus usuários.


A Markup relatou anteriormente que a vasta coleção de dados de localização da Life360 a tornou um dos maiores fornecedores de dados brutos para o setor de dados de localização. Em janeiro, a empresa anunciou que pararia de vender dados de localização precisos (exceto para Arity da Allstate), mas ainda forneceria dados de localização agregados para a empresa Placer AI.


“Um aplicativo que lida com informações de crianças que não oferece pelo menos multifator [autenticação], isso é pura negligência”, disse Jim Manico, gerente de projeto da ASVS.


Os usuários do Life360 reclamaram sobre logins não autorizados em várias postagens nasmídias sociais e em análises do aplicativo Life360 nas lojas de aplicativos Google Play e iOS. Vários usuários alegaram que um hacker fez login em suas contas e conseguiu visualizar suas localizações em tempo real, seus locais marcados como suas casas ou a localização em tempo real de seus entes queridos.


A Life360 respondeu a cada uma das análises da loja de aplicativos que encontramos, direcionando os usuários para sua equipe de suporte.


Os revisores não responderam a vários pedidos de comentários. “Relatos de contas hackeadas são extremamente raros e geralmente resultam de um membro da família convidando alguém, como um amigo, para sua conta familiar compartilhada”, disse Robertson, da Life360.


Ex-funcionários da Life360 disseram ao The Markup que os executivos da Life360 estavam bem cientes dos problemas de segurança, mas preferiram o crescimento e novos recursos de usuário ao invés de lidar com um acúmulo de melhorias de segurança. Os ex-funcionários falaram com o The Markup sob condição de anonimato porque ainda trabalham na indústria de dados.


A Life360 começou recentemente a se posicionar como uma forma de garantir a segurança digital de seus usuários, incluindo proteção contra roubo de identidade, monitoramento de crédito e notificações de violação de dados. Em sua linguagem de marketing , o Life360 promete aos usuários: “Nós protegemos seus dados para que você possa viver mais e se preocupar menos”, observando que até “1 milhão de crianças a cada ano” são vítimas de hacks e roubo de identidade.


A empresa também não segue os conselhos de segurança que compartilha em seu material de marketing. Em um postado no site da Life360, ele recomenda que os usuários definam senhas com no mínimo 12 caracteres. O Life360 requer apenas que as senhas contenham seis caracteres.


Especialistas alertam que aplicativos que permitem que as pessoas rastreiem a localização umas das outras, em particular, podem ser mal utilizados.


Parceiros abusivos às vezes usam o acesso a contas compartilhadas para seguir e assediar sobreviventes, e os aplicativos de rastreamento são uma grande parte dessa preocupação, disse Thomas Ristenpart, professor associado da Cornell Tech e cofundador da Clinic to End Tech Abuse.


Embora ele não tenha visto exemplos de Life360 sendo abusado por perseguidores, Ristenpart disse que qualquer aplicativo que forneça dados de localização em tempo real é motivo de preocupação. Em seu trabalho, ele está ciente das ferramentas de monitoramento de localização usadas por parceiros abusivos que rastreiam e perseguem sobreviventes, disse ele.


“Procuramos aplicativos como o Life360 instalados. Se os encontrarmos, teremos uma discussão com os clientes sobre o que eles querem fazer”, disse Ristenpart.


Melhorar a segurança da conta costuma ser a principal recomendação que Ristenpart faz às empresas de tecnologia, disse ele.


Mais empresas estão exigindo autenticação de dois fatores como um recurso de segurança para evitar invasões de contas. Em fevereiro, o Google relatou uma queda de 50% nas aquisições de contas depois de habilitar a autenticação de dois fatores por padrão. A Ring, empresa de campainhas de propriedade da Amazon, habilitou a autenticação obrigatória de dois fatores depois que hackers sequestraram câmeras para assediar os proprietários .


Especialistas disseram que impedir que os usuários criem senhas óbvias como “123456” e “senha” – o que o Life360 não faz – também é importante. O aplicativo também falhou em sinalizar uma famosa senha violada, “password1” e login de e-mail “[email protected]”, que o comediante Andy Sambergcompartilhou de brincadeira como seu login da HBO no Emmy Awards de 2015.


Ambas as credenciais foram sinalizadas pela verificação de senha do Google Chrome, bem como pelo banco de dados Have I Been Pwned , como vazadas.


“Parece que eles não fizeram nem o básico”, disse Jim Fenton, consultor do NIST e coautor das diretrizes de autenticação da agência. “Se você pode usar a senha 'senha', isso não é ótimo.”


Um dos ex-funcionários da Life360 disse ao The Markup que houve um debate interno sobre a validação de e-mail para contas. A verificação de um endereço de e-mail ajuda a evitar que fraudes e bots enviem spam para um serviço e protege os usuários de que alguém se inscreva em seu nome.


O ex-funcionário da Life360 disse que a empresa decidiu contra essa medida para facilitar a inscrição das pessoas.


Mudamos os e-mails de nossas contas Life360 várias vezes sem receber nenhum e-mail de validação para garantir que fossem endereços de e-mail reais. Também nunca recebemos e-mails de validação ao se inscrever.

O que encontramos

Por que isso importa

Falta de autenticação multifator

A autenticação multifator impede que um invasor consiga fazer login em suas contas apenas com sua senha. Geralmente requer um segundo método de autenticação, que pode ser um código temporário de uma mensagem de texto ou um aplicativo de autenticação ou um token físico como uma chave de segurança USB.

Sem limites de tentativa de login

Os limites de tentativa impedem que os invasores façam uma quantidade infinita de suposições até que adivinhem corretamente sua senha. Os hackers costumam usar bots para fazer isso e podem, eventualmente, quebrar a maioria das senhas sem limites de tentativa. Conseguimos tentar a senha errada 500 vezes sem nenhum aviso (depois de marcar uma caixa de seleção inicial chamada “Sou humano”).

Falta de notificações de alteração de senha

As notificações de alteração de senha avisam os usuários quando suas credenciais são alteradas sem seu consentimento. O Life360 desconecta todas as outras sessões quando uma senha é alterada, mas o proprietário original nunca é notificado quando isso acontece. Se o invasor alterar a senha antes do usuário real, o usuário real será efetivamente bloqueado em suas próprias contas.

Requisitos de força de senha fraca

Quanto mais longa for sua senha, mais difícil será para um bot quebrar ou uma pessoa adivinhar. NIST e OWASP recomendam senhas com pelo menos oito caracteres. O requisito para o Life360 era de pelo menos seis caracteres.

Nenhum aviso ao usar senhas comuns ou credenciais violadas conhecidas

Muitas violações de dados são o resultado da exploração de senhas comumente usadas em violações de dados anteriores. Conseguimos definir nossas senhas como “senha” e “123456”, duas das senhas mais comuns encontradas em violações.

Sem capacidade de sair diretamente de outras sessões ou revisar atividades

A única maneira de sair de outras sessões de login é redefinindo a senha da sua conta. É possível ter dois dispositivos conectados com a mesma conta simultaneamente, o que pode revelar a localização exata de uma pessoa e o histórico de localização recente. Um log de atividade da conta permitiria que os usuários procurassem atividades de login suspeitas.


Créditos: Alfred Ng e Jon Keegan


Foto de Towfiqu barbhuiya no Unsplash


Também publicado aqui