Magic Kinder, risolto bug che rendeva vulnerabile app usata dai bambini

L’app Magic Kinder creata per le famiglie con bambini viene promossa per essere uno spazio sicuro per i bambini perché il genitore ha il controllo totale dell’utilizzo dell’app tramite speciali impostazioni a cui solo tu puoi accedere all’interno dell’app. Ora, esperti di sicurezza hanno avvertito che ci sono stati dei problemi di privacy di massa con questa app creata dalla Kinder, il noto marchio della Ferrero.

UPDATE: Precisiamo che un aggiornamento avrebbe gia’ risolto i bug scovati nelle precedenti versioni, quindi la versione attualmente scaricabile dagli store di Android e Apple dovrebbe essere esente dalle vulnerabilità.

La mancanza di crittografia all’interno della applicazione per smartphone Magic Kinder e altre carenze nei protocolli di sicurezza usati avrebbero permesso ad esperti hacker di violare l’app e, quindi, entrare nello smartphone dell’utente su cui l’app viene installata, sostengono gli esperti di Hacktive Security.

La società di sicurezza sostiene in un post sul blog aziendale che un utente malintenzionato poteva sfruttare le vulnerabilità note per "leggere le chat dei bambini, inviare loro messaggi, fotografie e video o cambiare le informazioni del profilo quali la data di nascita e il sesso".

Tra le varie funzioni offerta dall’app Magic Kinder c’è il "Family Diary", una sorta di social network per bambini in cui possono condividere contenuti: questo spazio, prima dell’aggiornamento che ha risolto i bug, un hacker anche non molto esperto poteva riuscire a violarlo.

L’applicazione Magic Kinder per smartphone Android, di cui sono stati registrati oltre 500.000 download, è stata sviluppato da una filiale di Ferrero International, l’azienda dietro Nutella, Kinder e Ferrero Rocher, come ricorda il sito britannico The Register.

"Ti offriamo la tranquillità totale di sapere che i tuoi bambini sono al sicuro nell’ambiente Magic Kinder. Puoi aggiungere avatar, impostare limiti di tempo e decidere quanti contenuti può scaricare tuo figlio." si legge nella descrizione dell’app Magic Kinder, che offre contenuti come giochi, storie, video e attività varie come quiz e colori pensate per essere istruttive e divertenti, in modo che i bambini possano interagire mentre imparano.

Joe Bursell, marketing manager presso la Pen Test Partners che offre consulenza di sicurezza indipendente, ha detto a The Register che l’applicazione Magic Kinder conteneva molti problemi di sicurezza di base. "Quest non sono problemi sottili e difficili da trovare", ha detto Bursell. "Si riuscirebbe ad accedere agli ID nel proxy in pochi minuti di test (…) Non ci sono controlli di autorizzazione su una qualsiasi delle richieste. Questo significa che chiunque può: inviare un messaggio ai tuoi figli, leggere il tuo diario di famiglia, e modificare altri dati su persone, come ad esempio il sesso." ma cosa peggiore è che l’app "non utilizza la crittografia", ha aggiunto Bursell, prima che la Kinder aggiornasse l’app ad una versione piu’ sicura.

La versione dell’applicazione ora scaricabile tranquillizziamo che – stando a quanto riporta l’Ansa – è quella in cui sono stati risolti i bug trovati nelle precedenti versioni. "La falla risulta corretta con gli ultimi recenti aggiornamenti delle app per Android e iOS" scrive l’Ansa che riporta di aver parlato con Carlo Pelliccioni di Hacktive Security.