บ้าน Securitywatch แอพพลิเคชั่นสำหรับ Android ของ Nfl.com เปิดเผยข้อมูลโปรไฟล์ผู้ใช้แก่ผู้โจมตี

แอพพลิเคชั่นสำหรับ Android ของ Nfl.com เปิดเผยข้อมูลโปรไฟล์ผู้ใช้แก่ผู้โจมตี

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)
Anonim

ผู้รับพนันเวกัสอาจจะเฝ้าดู Seattle Seahawks และ New England Patriots อย่างใกล้ชิดใน Super Bowl Sunday แต่แฮกเกอร์หมวกดำอาจสนใจเก็บข้อมูลส่วนตัวจากอุปกรณ์ Android ของแฟน ๆ บริษัท เตือนความปลอดภัยมือถือในวันนี้

ผู้โจมตีจะสามารถโจมตีคนกลางได้เพื่อโจมตีช่องโหว่ที่รุนแรงในแอพ NFL Mobile ยอดนิยมซึ่งเปิดเผยข้อมูลส่วนบุคคลที่สำคัญของผู้ใช้ที่จัดเก็บไว้ในอุปกรณ์ Android Wandera กล่าวในคำแนะนำ โฆษกของ บริษัท บอกว่า SecurityWatch ยังคงไม่มีปัญหา

“ มันเป็นเรื่องที่น่าขันเหมือนกองหลังที่เสี่ยงต่อการถูกสกัดกั้นแอพของเอ็นเอฟแอลนั้นเสี่ยงต่อการถูกโจมตีจากคนกลางซึ่งจะทำให้ข้อมูลของผู้ใช้เสี่ยงต่อการถูกแฮ็ค” แฮ็กเกอร์กล่าว Wandera

การโทรที่ไม่ได้เข้ารหัสข้อมูลผู้ใช้รั่ว

แอปต้องการให้ผู้ใช้ลงชื่อเข้าใช้อย่างปลอดภัยด้วยข้อมูลประจำตัว NFL.com แต่จากนั้นจะรั่วไหลชื่อผู้ใช้และรหัสผ่านในการโทร API ที่ไม่ได้เข้ารหัสรองนักวิจัยของ Wandera ชื่อผู้ใช้และที่อยู่อีเมลจะถูกเก็บไว้ในคุกกี้ที่ไม่ได้เข้ารหัสทันทีหลังจากเข้าสู่ระบบและเมื่อมีการโทรไปที่ nfl.com ผู้โจมตีสามารถใช้ข้อมูลประจำตัวในการเข้าถึงโปรไฟล์เต็มของผู้ใช้บน nfl.com หน้าโปรไฟล์ไม่ได้เข้ารหัสซึ่งหมายความว่าผู้โจมตีสามารถใช้การโจมตีแบบ Man-in-the-middle เพื่อดักข้อมูลจากหน้าเว็บ

“ ความเสี่ยงสูงเป็นพิเศษในเวลานี้เมื่อผู้ใช้มีแนวโน้มที่จะเข้าถึงแอพก่อนเกมที่ใหญ่ที่สุดของฤดูกาลระหว่าง New England Patriots และ Seattle Seahawks” บริษัท กล่าวในคำแนะนำ

ยังไม่มีความชัดเจน ณ จุดนี้ว่าข้อมูลบัตรเครดิตที่บันทึกไว้จะปรากฏต่อผู้โจมตีหรือไม่เนื่องจากทีมรักษาความปลอดภัยไม่ได้พยายามซื้อสินค้าที่มีตราสินค้า NFL จากเว็บไซต์ในระหว่างการวิเคราะห์นี้ ยังไม่ชัดเจนว่ามีข้อบกพร่องเดียวกันในแอพ NFL อื่น ๆ เช่น NFL Now และ NFL Fantasy Football

ในตอนนี้ให้ทำการแก้ไข Super Bowl ผ่านทางเว็บไซต์ไม่ใช่แอพ NFL อย่าเสี่ยงตัวเอง

ความเสี่ยงต่อผู้ใช้งานด้วยแอพ

การใช้รหัสผ่านใหม่ยังคงเป็นปัญหาใหญ่ดังนั้นผู้ใช้ที่มีอีเมล / รหัสผ่านเดียวกันสำหรับบัญชีอื่นอาจพบว่าบัญชีเหล่านั้นถูกบุกรุก Wandera เตือน ข้อมูลโปรไฟล์เช่นวันเดือนปีเกิดชื่อเต็มอีเมลและที่อยู่ไปรษณีย์อาชีพผู้ให้บริการโทรทัศน์เพศและหมายเลขโทรศัพท์สามารถใช้ในการขโมยข้อมูลระบุตัวตนฟิชชิ่งและวิศวกรรมสังคม

"วันเดือนปีเกิด, ชื่อ, ที่อยู่และหมายเลขโทรศัพท์เป็นหน่วยการสร้างที่แน่นอนที่จำเป็นในการเริ่มต้นการขโมยข้อมูลประจำตัวที่ประสบความสำเร็จจากแฟน ๆ NFL" Tuvey กล่าว

หากคุณใช้รหัสผ่านเดียวกันกับเว็บไซต์อื่น ๆ โดยเฉพาะเว็บไซต์ที่มีความละเอียดอ่อนเช่นธนาคารและอีเมลให้เปลี่ยนทันที

อาชญากรได้กำหนดเป้าหมายไปที่ไซต์กีฬาและแอพมืออาชีพในอดีต แฟน ๆ NFL ถูกหลอกโดยหน้า Facebook ปลอมให้คลิกที่ลิงก์ที่เป็นอันตรายไปยังเว็บไซต์ที่ให้บริการมัลแวร์ Zeus ในปี 2013 Malicious s บน MLB.com ทำหน้าที่เป็นโปรแกรมป้องกันไวรัสปลอมให้แก่ผู้เยี่ยมชมที่ไม่สงสัยในปี 2555 นักวิจัยของ McAfee พบว่ามีการดักจับข้อความ SMS และอุปกรณ์ที่เชื่อมต่อกับบ็อตเน็ต

ผู้โจมตีทางไซเบอร์ยังต้องการกำหนดเป้าหมายกิจกรรมยอดนิยมและรายการข่าวใหม่ ๆ เพื่อแพร่กระจายมัลแวร์และดำเนินการโจมตีแบบฟิชชิง การโจมตีเหล่านี้ใช้ประโยชน์จากผู้ที่มองหาข้อมูลและอัพเดทล่าสุด OpenDNS ระบุเว็บไซต์ที่พยายามเลียนแบบข่าว BBC และให้บริการข้อมูลเท็จเกี่ยวกับการยิงที่ Charlie Hebdo เมื่อต้นเดือนนี้ มีแคมเปญสแปมและมัลแวร์จำนวนมากที่กำหนดเป้าหมายการแข่งขันกีฬาโอลิมปิกในลอนดอนและโซซีเช่นเดียวกับเกม Super Bowl ที่ผ่านมา เว็บไซต์ที่เป็นของ Miami Dolphins ให้บริการมัลแวร์อย่างน้อยหนึ่งสัปดาห์ก่อน Super Bowl ในปี 2007

แอพพลิเคชั่นสำหรับ Android ของ Nfl.com เปิดเผยข้อมูลโปรไฟล์ผู้ใช้แก่ผู้โจมตี