K-12教育应用存在“严重安全风险”
2021-12-23 14:6:9 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据非营利组织Me2B Alliance近期发布的报告显示,K-12教育使用的许多应用程度存在各种严重的安全问题,其中包括可能导致学生数据“不受监管和失控”地分享给广告公司。

Me2B共对38 所k-12学校使用的 73 个应用程序,发现其中有60%的应用会将学生数据发送给第三方;大约有50%的人讲数据发送给了Google,约有10%的人将数据发送给Facebook。

值得一提的是,Me2B对一个名为“WebView”通用功能的使用进行专门研究,该功能允许开发人员将网页集成到应用程序中。在学校的很多应用中都使用了该功能,它允许学校在应用中集成动态的网页信息(例如日历和体育赛事的结果),且无需更新应用程序。但是,它也很有可能导致学生数据被窃取,更糟糕的是,学生和家长还可能因此成为网络诈骗的目标。

例如,研究人员多次观察到学校应用程序链接的网页被劫持,导致用户访问了恶意网站。马里兰州某个学校曾经使用的一款应用程序就是如此,将用户定向至一个受感染的网站。德克萨斯州的某学校也在应用中集成了一个体育域名,但是这个域名却被一个恶意组织以30美元的价格买下,此类威胁比比皆是。

另外,网络犯罪分子经常会定期扫描过期的URL,并将其用于商业电子邮件入侵计划、网络钓鱼攻击和恶意广告活动。如果学校忘记更新他们的域名,或者一些过期的域名被集成到学校的应用程序中,那么他们很有可能处于威胁之下。

Me2B测试负责人Zach Edwards表示,“类似的情况非常多,很多学校只是为非.gov域名选择了私有域注册商,但是经常忘记及时更新。在我们报告这些问题之前,很多学校甚至都没有意识到,这些域名已经不是他们的了。”

此外,Me2B报告还提供了一些降低安全风险的建议,包括培训应用程序管理员、在学校创建流程以跟踪过期的URL、要求学校在特定时间内报告丢失的域名,以及启动“隐私赏金”计划”在美国教育部审核学校应用程序等。

参考来源:https://therecord.media/study-finds-serious-security-risks-in-k-12-school-apps/?__cf_chl_jschl_tk__=NA6I1_Fdys5e7Xxv6AlvpRFndtiIijDsUE.gEnH8fJc-1640237830-0-gaNycGzNC_0


文章来源: https://www.freebuf.com/news/317120.html
如有侵权请联系:admin#unsafe.sh