image

Fabrikant levert kindertablets met kwetsbare Flash Player

vrijdag 11 maart 2016, 11:56 door Redactie, 3 reacties

De Amerikaanse fabrikant van kindertablets LeapFrog, recentelijk overgenomen door het Chinese VTech, levert laptops met een kwetsbare versie van Adobe Flash Player, waardoor aanvallers het apparaat volledig kunnen overnemen. Daarvoor waarschuwt onderzoeker Mike Carthy.

Carthy onderzocht de LeapPad Ultra. De tablet bleek een Flash Player-versie te gebruiken van 21 september 2015. Sindsdien zijn er meerdere kwetsbaarheden in Flash Player ontdekt waardoor een aanvaller willekeurige code op systemen kan uitvoeren. "Een aanvaller kan zo de ingebouwde microfoon aanzetten, de activiteiten van je kind monitoren en zelfs via de camera's van het apparaat foto's van hem nemen", aldus de onderzoeker.

Zodra de tablet op een computer wordt aangesloten verschijnt er wel een melding of de gebruiker het programma "LeapFrog Connect" wil installeren. Na de installatie vraagt dit progamma om Adobe Flash Player te updaten. Dit is verplicht om de Connect-applicatie te gebruiken, maar de melding met de update verschijnt alleen als de tablet op de computer wordt aangesloten. "Iets dat veel ouders die deze apparaten aanschaffen mogelijk nooit zullen doen", merkt Carthy op.

Volgens de onderzoeker kunnen fabrikanten er niets aan doen dat Flash Player kwetsbaarheden bevat, maar is het wel hun verantwoordelijkheid om ervoor te zorgen dat hun apparatuur de noodzakelijke updates voor gebruik installeert. Verder blijkt dat de contentserver van LeapFrog ook buiten de tablets om is te bereiken. Carthy adviseert de fabrikant om authenticatie voor de server te verplichten, alsmede het downloaden van updates bij het instellen van de tablet. Als laatste wordt aangeraden om Adobe Flash niet meer voor de videocontent te gebruiken maar html5.

Reacties (3)
11-03-2016, 15:19 door Anoniem
Vtech komt de laatste tijd wel veel in het nieuws

http://arstechnica.com/security/2015/11/when-children-are-breached-inside-the-massive-vtech-hack/2/
11-03-2016, 18:59 door Anoniem
quote:"Volgens de onderzoeker kunnen fabrikanten er niets aan doen dat Flash Player kwetsbaarheden bevat, maar is het wel hun verantwoordelijkheid om ervoor te zorgen dat hun apparatuur de noodzakelijke updates voor gebruik installeert."
Geldt dat dan ook niet voor alle samsung telefoons waar de consumentenbond recentelijk toe verzocht bij een rechter?
13-03-2016, 01:39 door Anoniem
Scan hun server adres eens en je ziet dat leapfrog dot com ook nog eens kwetsbaar is voor de DROWn attack, een fabrikant die de veiligheid niet hoog in het vaandel heeft staan. quote: Results for leapfrog.com
Sites that use the certificates below are vulnerable to eavesdropping. Attackers may be able to decrypt recorded traffic and steal data.
Update server software at all IP addresses shown, and ensure SSLv2 is disabled.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.