Fabrikant levert kindertablets met kwetsbare Flash Player
De Amerikaanse fabrikant van kindertablets LeapFrog, recentelijk overgenomen door het Chinese VTech, levert laptops met een kwetsbare versie van Adobe Flash Player, waardoor aanvallers het apparaat volledig kunnen overnemen. Daarvoor waarschuwt onderzoeker Mike Carthy.
Carthy onderzocht de LeapPad Ultra. De tablet bleek een Flash Player-versie te gebruiken van 21 september 2015. Sindsdien zijn er meerdere kwetsbaarheden in Flash Player ontdekt waardoor een aanvaller willekeurige code op systemen kan uitvoeren. "Een aanvaller kan zo de ingebouwde microfoon aanzetten, de activiteiten van je kind monitoren en zelfs via de camera's van het apparaat foto's van hem nemen", aldus de onderzoeker.
Zodra de tablet op een computer wordt aangesloten verschijnt er wel een melding of de gebruiker het programma "LeapFrog Connect" wil installeren. Na de installatie vraagt dit progamma om Adobe Flash Player te updaten. Dit is verplicht om de Connect-applicatie te gebruiken, maar de melding met de update verschijnt alleen als de tablet op de computer wordt aangesloten. "Iets dat veel ouders die deze apparaten aanschaffen mogelijk nooit zullen doen", merkt Carthy op.
Volgens de onderzoeker kunnen fabrikanten er niets aan doen dat Flash Player kwetsbaarheden bevat, maar is het wel hun verantwoordelijkheid om ervoor te zorgen dat hun apparatuur de noodzakelijke updates voor gebruik installeert. Verder blijkt dat de contentserver van LeapFrog ook buiten de tablets om is te bereiken. Carthy adviseert de fabrikant om authenticatie voor de server te verplichten, alsmede het downloaden van updates bij het instellen van de tablet. Als laatste wordt aangeraden om Adobe Flash niet meer voor de videocontent te gebruiken maar html5.
http://arstechnica.com/security/2015/11/when-children-are-breached-inside-the-massive-vtech-hack/2/
Geldt dat dan ook niet voor alle samsung telefoons waar de consumentenbond recentelijk toe verzocht bij een rechter?
Sites that use the certificates below are vulnerable to eavesdropping. Attackers may be able to decrypt recorded traffic and steal data.
Update server software at all IP addresses shown, and ensure SSLv2 is disabled.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.