בית שעון האבטחה אפליקציית ה- Android של Nfl.com חושפת את נתוני פרופיל המשתמש בפני התוקפים

אפליקציית ה- Android של Nfl.com חושפת את נתוני פרופיל המשתמש בפני התוקפים

וִידֵאוֹ: ¹²³+ª=æ (נוֹבֶמבֶּר 2024)

וִידֵאוֹ: ¹²³+ª=æ (נוֹבֶמבֶּר 2024)
Anonim

חוברות בווגאס אולי מסתכלות מקרוב על סיאטל סיהוקס ופטריוטס ניו אינגלנד ביום ראשון הקרוב בסופרבול, אך האקרים של כובעים שחורים עשויים להתעניין יותר באיסוף נתונים אישיים ממכשירי האנדרואיד של האוהדים, כך הזהיר היום חברת אבטחה לנייד.

תוקפים יוכלו לפגוע בהתקפות בין אמצע כדי לנצל פגיעות חמורה באפליקציית NFL Mobile הפופולרית, החושפת את הנתונים האישיים הרגישים של המשתמשים המאוחסנים במכשירי אנדרואיד, אמר וונדרה במייעצת. דובר החברה אמר ל- SecurityWatch הבעיה עדיין לא מתוקנת.

אלדר טובי, מנכ"ל חברת אלדר טובי, אמר אלדר טווי, "" זה אירוני שממש כמו שקווטרבק חשוף ליירוט, אפליקציית NFL חשופה להתקפה של אדם באמצע שמעמידה את נתוני המשתמשים בסיכון ליירוט על ידי האקרים. וונדרה.

מידע על משתמשים ללא שיחה מוצפנת

האפליקציה דורשת מהמשתמש להיכנס בצורה מאובטחת עם אישורי NFL.com, אך לאחר מכן היא מדלפת את שם המשתמש והסיסמה בשיחת API משנית ללא מוצפנת, כך מצאו חוקרי Wandera. שם המשתמש וכתובת הדוא"ל מאוחסנים גם בעוגיה לא מוצפנת מייד לאחר הכניסה ובשיחות הבאות ל- nfl.com. התוקף יכול להשתמש בתעודות כדי לגשת לפרופיל המלא של המשתמש באתר nfl.com. עמוד הפרופיל אינו מוצפן, מה שאומר שתוקפים יכולים להשתמש בהתקפות איש-באמצע כדי ליירט נתונים מהדף.

החברה מסרה במייעצת שלה, "הסיכון גבוה במיוחד בזמן זה, כאשר המשתמשים עשויים לגשת לאפליקציה לקראת המשחק הגדול ביותר העונה בין ניו-אינגלנד פטריוטס לסיאטל סיהוק.

לא ברור בשלב זה אם פרטי כרטיס אשראי שמורים היו גלויים לתוקף, מכיוון שצוות האבטחה לא ניסה לרכוש סחורה ממותגת NFL מהאתר במהלך ניתוח זה. זה גם לא ברור אם אותו פגם קיים ביישומי NFL אחרים, כמו NFL Now ו- NFL Fantasy Football.

לעת עתה, קבל את תיקון הסופרבול דרך האתר ולא באמצעות אפליקציית NFL. אל תסכן את עצמך.

סיכונים למשתמשים באמצעות האפליקציה

שימוש חוזר בסיסמה הוא עדיין בעיה גדולה, כך שמשתמשים שיש להם שילוב דוא"ל / סיסמא זהה לחשבונות אחרים עשויים למצוא חשבונות אלה בסכנה, הזהיר Wandera. ניתן להשתמש בפרטי פרופיל כגון תאריך לידה, שם מלא, כתובות דוא"ל ודואר, עיסוק, ספק טלוויזיה, מין ומספר טלפון לצורך גניבת זהות, דיוג והנדסה חברתית.

טובי אמר כי "תאריך הלידה, שם, כתובת ומספר טלפון הם אבני הבניין המדויקות הנדרשות בכדי להתחיל גניבת זהות מוצלחת מצד אוהדי ה- NFL".

אם אתה משתמש באותה סיסמה באתרים אחרים, אתרים רגישים במיוחד כמו בנקאות ודוא"ל, שנה אותם מייד.

עבריינים מכוונו לאתרי ספורט ואפליקציות מקצועיות בעבר. מעריצי NFL הונעו על ידי דפי פייסבוק מזויפים ללחוץ על קישורים זדוניים לאתרים המגישים תוכנות זדוניות של זאוס בשנת 2013. זדוניות ב- MLB.com הגישו אנטי-וירוס מזויף למבקרים בלתי מעורערים בשנת 2012. אפליקציה סלולרית מזויפת שמתחווה למכשירים מושרשים של MADDEN NFL 12, חוקרי McAfee מצאו בשנת 2012.

תוקפי סייבר אוהבים גם למקד לאירועים פופולריים ופריטים ראויים לעיתונות כדי להפיץ תוכנות זדוניות ולבצע התקפות דיוג. התקפות אלה מנצלות אנשים המחפשים את המידע העדכני ביותר. OpenDNS זיהה אתר שמנסה לחקות את חדשות ה- BBC ולהגיש מידע כוזב על הירי לעבר צ'רלי הבדו בתחילת החודש. היו כמה מסעות פרסום של דואר זבל ותוכנות זדוניות הממוקדים לאולימפיאדה בלונדון ובסוצ'י, כמו גם במשחקי סופרבול בעבר. אתרים השייכים לדולפינים במיאמי הציגו תוכנות זדוניות לפחות שבוע לפני הסופרבול בשנת 2007.

אפליקציית ה- Android של Nfl.com חושפת את נתוני פרופיל המשתמש בפני התוקפים