研究人員稱，Canopy是一個(gè)家長控制應(yīng)用程序，它提供了一系列的功能，可以通過內(nèi)容檢查來保護(hù)孩子們上網(wǎng)，但它卻很容易受到各種跨站腳本（XSS）攻擊。

　　這些攻擊可以造成禁用孩子的監(jiān)控甚至是更嚴(yán)重的后果，還可以向家長提供惡意軟件。

　　Canopy提供了防止色情短信、設(shè)備照片保護(hù)（通過圖像過濾）、屏幕時(shí)間監(jiān)控、為父母提供兒童通信警報(bào)、違規(guī)網(wǎng)站的智能內(nèi)容過濾，同時(shí)，Canopy還使用了人工智能引擎和VPN過濾功能。此外，對(duì)于父母來說，它還提供了遠(yuǎn)程設(shè)備管理和控制孩子使用的應(yīng)用程序和網(wǎng)站的功能。

　　據(jù)安全研究員稱，該應(yīng)用的安裝過程需要授予一系列的權(quán)限，包括無障礙支持、在其他應(yīng)用程序之上顯示的功能、安裝根CA和配置VPN。該應(yīng)用程序還可以（選擇性地）充當(dāng)設(shè)備管理員，防止應(yīng)用程序被刪除……這種特權(quán)訪問會(huì)給設(shè)備的安全和使用這些設(shè)備的兒童的隱私帶來相當(dāng)大的風(fēng)險(xiǎn)。

　　該應(yīng)用程序被曝出XSS漏洞

　　事實(shí)證明，研究人員的想法并沒有錯(cuò)。在研究該應(yīng)用程序的安卓版本時(shí)，研究人員發(fā)現(xiàn)了幾個(gè)XSS漏洞，當(dāng)惡意腳本被注入到其他正常的或受信任的網(wǎng)站時(shí)，就會(huì)發(fā)生這種攻擊。

　　這種注入通常是通過將惡意代碼輸入到網(wǎng)絡(luò)響應(yīng)或評(píng)論字段來實(shí)現(xiàn)的，然后有效載荷就會(huì)被發(fā)送到網(wǎng)絡(luò)服務(wù)器。通常情況下，這些響應(yīng)會(huì)在服務(wù)器端被驗(yàn)證，因此惡意腳本就會(huì)被阻止了。但在Canopy公司的案例中，研究人員發(fā)現(xiàn)該應(yīng)用缺乏這些方面的檢查。

　　一旦網(wǎng)站被入侵后，那么該網(wǎng)站的任何訪問者都有可能成為受害者，要么是被存儲(chǔ)型XSS攻擊，要么是被引誘點(diǎn)擊一個(gè)鏈接，被反射型XSS攻擊。

　　漏洞簡析

　　第一個(gè)問題是該應(yīng)用程序的保護(hù)措施可以被繞過。

　　當(dāng)研究人員測試Canopy的屏蔽不良網(wǎng)站核心功能時(shí)，他發(fā)現(xiàn)當(dāng)他試圖在測試的安卓設(shè)備上加載一個(gè)被禁止的網(wǎng)站時(shí)，顯示的是一個(gè)屏蔽通知頁面。該通知頁面內(nèi)有一個(gè)按鈕，它可以使孩子要求他或她的父母允許所要訪問的頁面。

　　當(dāng)在測試設(shè)備上點(diǎn)擊了這個(gè)按鈕后，然后在響應(yīng)的數(shù)據(jù)中附加上了一個(gè)簡單的XSS有效載荷腳本，在待訪問的網(wǎng)站上創(chuàng)建一個(gè)JavaScript彈出窗口，仔細(xì)觀察會(huì)發(fā)生什么。當(dāng)他進(jìn)入網(wǎng)站時(shí)，果然，出現(xiàn)了彈窗口。

　　該漏洞產(chǎn)生的原因是由于系統(tǒng)未能對(duì)用戶輸入的內(nèi)容進(jìn)行轉(zhuǎn)義。研究人員發(fā)現(xiàn)，該字段只允許用戶輸入50個(gè)字符，但這就足以輸入一個(gè)外部腳本。現(xiàn)在我們可以有多種方法來利用這個(gè)漏洞。

　　攻擊者（例如被監(jiān)控的孩子）可以在異常請(qǐng)求中嵌入一個(gè)有效攻擊載荷。雖然攻擊者有多種方式利用這個(gè)漏洞，但很明顯最簡單的方式是自動(dòng)批準(zhǔn)一個(gè)請(qǐng)求。這里第一個(gè)測試的是一個(gè)自動(dòng)點(diǎn)擊批準(zhǔn)傳入的有效載荷。又測試了另一個(gè)有效載荷，它可以自動(dòng)暫停監(jiān)控保護(hù)。

　　外來攻擊者對(duì)Canopy進(jìn)行攻擊

　　雖然熟悉腳本知識(shí)的孩子可以對(duì)父母進(jìn)行網(wǎng)絡(luò)攻擊，但研究人員也發(fā)現(xiàn)它還可以產(chǎn)生更嚴(yán)重的后果。

　　例如，他觀察到阻止通知頁面中的URL值（表明哪個(gè)網(wǎng)站被拒絕）會(huì)顯示在父母儀表板的主頁面上。研究人員在這里做了一個(gè)簡單的測試，在URL中添加了一個(gè)腳本標(biāo)簽，并在父控制臺(tái)進(jìn)行加載，當(dāng)加載父儀表板的主頁面時(shí)該腳本就會(huì)執(zhí)行。我們現(xiàn)在可以提交一個(gè)異常請(qǐng)求，當(dāng)父母登錄檢查被監(jiān)控的設(shè)備時(shí)，攻擊者就可以控制Canopy應(yīng)用程序了。

　　此外，由于攻擊需要使用一個(gè)特制的URL，因此攻擊完全有可能來自外部的第三方平臺(tái)。攻擊者只需要建立一個(gè)可能被屏蔽的網(wǎng)站，并在其URL中添加腳本，并誘導(dǎo)孩子嘗試訪問它。當(dāng)有關(guān)訪問請(qǐng)求的通知傳到家長控制臺(tái)時(shí)，監(jiān)控該賬戶的家長就會(huì)成為惡意腳本的受害者。

　　但這還不是全部。事實(shí)證明，Canopy API的設(shè)計(jì)允許外部攻擊者通過猜測父賬戶的ID，直接將XSS有效載荷注入到父母賬戶的網(wǎng)頁上。這還可能會(huì)將用戶重定向到廣告頁面、進(jìn)行其他漏洞利用、進(jìn)行惡意軟件攻擊等后果。最糟糕的是，攻擊者還可以劫持對(duì)安裝在孩子手機(jī)上的應(yīng)用程序的訪問，并從受保護(hù)的設(shè)備中提取GPS坐標(biāo)。

　　由于用戶的賬戶ID是一串很簡短的數(shù)值，因此，攻擊者只需依次對(duì)每個(gè)ID值發(fā)出阻斷異常請(qǐng)求，就可以在每個(gè)賬戶上使用攻擊載荷。

　　最糟糕的是Canopy沒有發(fā)布補(bǔ)丁

　　研究人員說，他多次通過電話和電子郵件與該公司進(jìn)行聯(lián)系，但幾乎沒有得到回應(yīng)，因此他決定披露這些漏洞。他補(bǔ)充說，為了防止兒童受到攻擊，開發(fā)商應(yīng)該盡快提出修復(fù)措施。

　　Canopy需要對(duì)所有用戶輸入的字段進(jìn)行轉(zhuǎn)義，但實(shí)際上它并沒有這樣做。在反復(fù)嘗試與供應(yīng)商進(jìn)行合作后，為方便其他人可以從中了解并采取相應(yīng)的措施，最終決定公布這份報(bào)告 。