Chronisz swoje dzieci? Uważaj, jak to robisz, bo możesz im zaszkodzić

Jeden z naszych redaktorów otrzymał od sieci Play SMS-a zachęcającego do skorzystania z aplikacji do ochrony dzieci. Jako że jego jedyną pociechą jest kot, nie zdecydował się na jej włączenie. Wiadomość przypomniała nam za to o niebezpiecznym incydencie związanym z analogicznym narzędziem, w którym doszło do wycieku danych.

Bezpieczna Rodzina od Play – czyli aplikacja, dzięki której dorośli mają dostęp do informacji o lokalizacji dziecka, a także do ustawień zapewniających jego bezpieczeństwo w sieci – nie jest żadną nowością. Została udostępniona klientom sieci pod koniec września 2020 r. Do poruszenia jej tematu skłonił nas SMS, którego otrzymał jeden z naszych redaktorów.

"Lokalizuj bliskich 24/7! Sprawdź, gdzie są Twoi bliscy, w chwilach, kiedy nie możecie być razem" – brzmi treść wiadomości, pod którą załączono link do usługi. Jak wyjaśnia Play, dzięki aplikacji rodzic widzi na mapie miejsce, w którym przebywa pociecha, wyznacza strefy bezpieczeństwa, a nawet dostaje powiadomienia za każdym razem, gdy są one opuszczane.

Według danych Play aż 80 proc. dzieci używa smartfonów samodzielnie zarówno do nauki, pozostawania w kontakcie z bliskimi, jak i rozrywki. Taki sam odsetek rodziców odczuwa w związku z tym potrzebę ochrony swoich pociech przed niebezpieczeństwami, jakie kryją się w internecie. Z tego względu Play uruchomił usługę "Bezpieczna Rodzina".

Funkcja Ochrony w Sieci umożliwia ochronę najmłodszych przed nieodpowiednimi dla nich treściami, a także wybór aplikacji, do których dziecko może mieć dostęp. Dodatkowo ustawianie dziennych limitów czasu na korzystanie z telefonu i aplikacji zostało poszerzone o zdalne blokowanie telefonu dziecka wraz z personalizowaną wiadomością np.: pora spać. Opiekun może również sprawdzić jakie video na YouTube oglądało dziecko oraz jakie treści przeglądało w internecie.

Aplikacja działa jak rozmowa z dzieckiem prowadzona na dwóch smartfonach, dlatego po uruchomieniu usługi i dodaniu bliskiego do ochrony, rodzic musi zainstalować ją również na telefonie dziecka. Aplikacja w prosty i czytelny sposób przeprowadzi rodzica przez cały proces dodawania telefonu dziecka do ochrony. Wersja dla dziecka jest dostępna tylko w Google Play dla urządzeń z systemem Android. Usługę Bezpieczna Rodzina można aktywować na kilka sposobów:

• pobrać aplikację bezpośrednio w sklepie Google Play lub AppStore,
• wysłać SMS o treści START pod numer 241 dla opcji Standard lub 242 dla opcji Premium,
• uruchomić ją z pomocą konsultanta w punkcie sprzedaży i obsługi klienta,
• aktywować w aplikacji Play24.

W tym samym roku, w którym Play wydał swoją "Bezpieczną Rodzinę", Niebezpiecznik informował o analogicznej aplikacji, w której mogło dojść do wycieku danych. KidsGuard – bo o nim mowa – według jego strony internetowej może monitorować SMS-y, rozmowy telefoniczne i komunikatory wraz z social mediami. Producent jednak nie ostrzegał na swojej stronie o pewnych problemach.

Przede wszystkim zainstalowanie KidsGuard na urządzeniu z systemem Android wymagało pozwolenia na instalowanie aplikacji z nieznanych źródeł. Co więcej, aby ją uruchomić, było wymagane wyłączenie Google Play Protect, co samo w sobie pozbawiało dziecko części ochrony. Dodatkowo aplikacja miała dostęp do poufnych danych takich jak fotografie, filmy, zrzuty ekranu rozmów w komunikatorach i nagrania rozmów telefonicznych.

To jednak tylko część większego problemu. Maia Arson Crimew – wcześniej znana jako Tillie Kottmann – wzięła na tapet aplikację KidsGuard. Po jej zbadaniu za pomocą inżynierii wstecznej stwierdziła, że aplikacja eksfiltrowała dane śledzonych osób do zbioru w chmurze firmy Alibaba. W tym miejscu warto nadmienić, że KidsGuard była wykorzystywana nie tylko do śledzenia dzieci, ale również nieświadomych dorosłych – pracowników czy partnerów.

Badaczce udało się ustalić, że w wyniku błędu konfiguracyjnego zestaw danych pochodzących z aplikacji mógł zostać udostępniony publicznie. Firma ClevGuard odpowiedzialna za wydanie KidsGuard po ujawnieniu tych informacji zamknęła narażony zbiór danych. Deweloper zwrócił się także do serwisu TechCrunch, w którym opublikowano raport, z prośbą o jego usunięcie. Ten jednak wciąż jest dostępny na stronie i może działać jako przestroga dla rodziców, którzy nierzadko zbyt nachalnie podchodzą do kwestii dbania o bezpieczeństwo swoich pociech.