È stata risolta con l’ultimo aggiornamento la pericolosa falla di sicurezza dell’app Magic Kinder, che metteva a rischio i dati sensibili dei più piccoli.
Magic Kinder è un’applicazione sviluppata dal gruppo Ferrero nata con l’intento di proteggere i più piccoli creando un ambiente protetto. “È uno spazio sicuro per i bambini perché tu hai il controllo totale dell’utilizzo dell’app“, così si presenta negli store Android e iOS. Dopo averla installata è possibile creare una community privata con amici e parenti con cui condividere emoticons, scambiare messaggi vocali, foto e disegni dei più piccoli.
Una scoperta casuale
La falla, illustrata nel dettaglio dal gruppo di esperti informatici della Hacktive Security, è stata scoperta per caso da un ricercatore: Massimo Bozza. Il ricercatore ha deciso di analizzare l’app installata sullo smartphone della sua nipotina e durante il setup, si è reso conto che era possibile registrarsi anche con dati falsi.
La funzione di condivisione chiamata Family Diary avrebbe dovuto essere confinata solo ai membri della famiglia ed amici, ma il ricercatore ha scoperto intercettando il traffico fa l’app e il backend e analizzando le chiamate alle API, la totale assenza di restrizioni del meccanismo di condivisione dei dati che avrebbe potuto mettere a rischio la privacy dei bambini rendendo possibile a qualsiasi malintenzionato di leggere le chat, mandare messaggi e accedere alle informazioni del profilo come data di nascita e genere. Cosa ancor più grave, le comunicazioni erano trasmesse completamente in chiaro, senza nessuna crittatura. La versione scaricabile dagli store iOS e Android, ha completamente risolto il problema.