• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:295

已知至少有一台用於家長監控青少年手機活動的伺服器已經暴露了成千上萬的父母和孩子的帳戶和資料。

「TeenSafe」手機APP自稱是跨iOS和Android的“安全”監控應用程式，可讓父母查看孩子的訊息和位置，監控和他們打電話的人和時間以及存取他們的網路瀏覽記錄，並查出他們安裝哪些APP，並聲稱有超過100萬的父母使用這項服務。

雖然青少年監控應用程式是有隱私和侵入爭議, 該公司稱, 該APP可以讓父母不需透過他們的孩子的同意，但這家總部位於加利福尼亞州的公司將其伺服器託管在亞馬遜的雲端，卻不受任何的保護並且無需密碼即可存取。

英國安全研究人員Robert Wiggins在搜尋公開資料和暴露在外資料時，發現兩台資料洩漏的伺服器，並在ZDNet提醒該公司後，兩台伺服器都被下線，其中另一台伺服器似乎只包含測試資料，TeenSafe發言人周日並通知ZDNet已採取行動將一台公開的伺服器關閉，並開始提醒可能會受到影響的客戶。

該資料庫儲存的資料包括與TeenSafe關聯的父母的電子郵件地址以及其相應孩子的Apple ID電子郵件地址。還包括孩子的設備名稱(通常只是名字)以及設備的唯一標識符。更包含孩子Apple ID的明文密碼。由於該APP需要關閉雙因素身份驗證，所以查看此資料的有心人士只需使用憑證即可侵入孩子的帳戶以存取其個人資料內容。

其中資料還包含帳戶操作失敗的相關錯誤訊息, 例如, 父母查找孩子的即時位置未完成之紀錄。而這些記錄尚包含如照片、手機訊息或父母、子女的位置。在伺服器離線前, 過去三月中已至少有10200條記錄包含客戶資料(部分重複)，其中一個伺服器似乎僅存儲測試資料, 但不知道是否其他暴露的伺服器有額外的資料。

ZDNet更透過iMessage在外洩資料中嘗試與其父母聯繫，並得到部分回應表示曝光的電郵確實是用來設定孩子的Apple ID。

目前還不清楚為什麼這些資料，包括青少年的Apple ID設置密碼是以明文形式存儲。該公司在其網站上聲稱，它是“安全的”，並使用加密來混淆資料，已避免發生資料洩露，並表示將繼續評估此情況，並在可用時"提供更多資訊"。

參考連結：

https://www.zdnet.com/article/teen-phone-monitoring-app-leaks-thousands-of-users-data/