官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据非营利组织Me2B Alliance近期发布的报告显示,K-12教育使用的许多应用程度存在各种严重的安全问题,其中包括可能导致学生数据“不受监管和失控”地分享给广告公司。
Me2B共对38 所k-12学校使用的 73 个应用程序,发现其中有60%的应用会将学生数据发送给第三方;大约有50%的人讲数据发送给了Google,约有10%的人将数据发送给Facebook。
值得一提的是,Me2B对一个名为“WebView”通用功能的使用进行专门研究,该功能允许开发人员将网页集成到应用程序中。在学校的很多应用中都使用了该功能,它允许学校在应用中集成动态的网页信息(例如日历和体育赛事的结果),且无需更新应用程序。但是,它也很有可能导致学生数据被窃取,更糟糕的是,学生和家长还可能因此成为网络诈骗的目标。
例如,研究人员多次观察到学校应用程序链接的网页被劫持,导致用户访问了恶意网站。马里兰州某个学校曾经使用的一款应用程序就是如此,将用户定向至一个受感染的网站。德克萨斯州的某学校也在应用中集成了一个体育域名,但是这个域名却被一个恶意组织以30美元的价格买下,此类威胁比比皆是。
另外,网络犯罪分子经常会定期扫描过期的URL,并将其用于商业电子邮件入侵计划、网络钓鱼攻击和恶意广告活动。如果学校忘记更新他们的域名,或者一些过期的域名被集成到学校的应用程序中,那么他们很有可能处于威胁之下。
Me2B测试负责人Zach Edwards表示,“类似的情况非常多,很多学校只是为非.gov域名选择了私有域注册商,但是经常忘记及时更新。在我们报告这些问题之前,很多学校甚至都没有意识到,这些域名已经不是他们的了。”
此外,Me2B报告还提供了一些降低安全风险的建议,包括培训应用程序管理员、在学校创建流程以跟踪过期的URL、要求学校在特定时间内报告丢失的域名,以及启动“隐私赏金”计划”在美国教育部审核学校应用程序等。
参考来源:https://therecord.media/study-finds-serious-security-risks-in-k-12-school-apps/?__cf_chl_jschl_tk__=NA6I1_Fdys5e7Xxv6AlvpRFndtiIijDsUE.gEnH8fJc-1640237830-0-gaNycGzNC_0