بيت Securitywatch يعرض تطبيق Android Nfl.com بيانات ملف تعريف المستخدم للمهاجمين

يعرض تطبيق Android Nfl.com بيانات ملف تعريف المستخدم للمهاجمين

فيديو: تمكين الكتابة والتعديل على بارتشنات ويندوز NTFS في لينوكس (شهر نوفمبر 2024)

فيديو: تمكين الكتابة والتعديل على بارتشنات ويندوز NTFS في لينوكس (شهر نوفمبر 2024)
Anonim

حذرت شركة أمنية للهاتف المحمول اليوم من أن وكلاء المراهنات في فيجاس ربما يشاهدون سياتل سي هوكس ونيو إنجلاند باتريوتس عن كثب يوم الأحد الماضي ، لكن قراصنة القبعة السوداء قد يكونون أكثر اهتمامًا بجمع البيانات الشخصية من أجهزة أندرويد الخاصة بالمعجبين.

وقال وانديرا في أحد المستشارين أن المهاجمين سيكونون قادرين على شن هجمات من الرجال في منتصف الوقت لاستغلال ثغرة أمنية خطيرة في تطبيق NFL Mobile الشهير الذي يكشف البيانات الشخصية الحساسة للمستخدمين المخزنة على أجهزة أندرويد. قال متحدث باسم شركة SecurityWatch أن المشكلة لا تزال غير مثبتة.

وقال إلدار تويفي ، الرئيس التنفيذي لشركة Wandera.

المكالمات غير المشفرة تسرب معلومات المستخدم

وجد الباحثون في Wandera أن التطبيق يتطلب من المستخدم تسجيل الدخول بشكل آمن باستخدام بيانات اعتماد NFL.com ، ولكنه بعد ذلك يسرب اسم المستخدم وكلمة المرور في مكالمة API ثانوية غير مشفرة. يتم أيضًا تخزين اسم المستخدم وعنوان البريد الإلكتروني في ملف تعريف ارتباط غير مشفر مباشرة بعد تسجيل الدخول وعلى المكالمات اللاحقة إلى nfl.com. يمكن للمهاجم استخدام بيانات الاعتماد للوصول إلى الملف الشخصي الكامل للمستخدم على nfl.com. صفحة الملف الشخصي غير مشفرة ، مما يعني أن المهاجمين يمكنهم استخدام هجمات الرجل المتوسط ​​لاعتراض البيانات من الصفحة.

وقالت الشركة في تقريرها "الخطر كبير بشكل خاص في هذا الوقت ، حيث من المحتمل أن يصل المستخدمون إلى التطبيق قبل أكبر لعبة في الموسم بين نيو انغلاند باتريوت وسياتل سي هوكس".

ليس من الواضح في هذه المرحلة ما إذا كانت معلومات بطاقة الائتمان المحفوظة ستكون مرئية للمهاجم ، حيث لم يحاول فريق الأمان شراء أي سلع تحمل علامة اتحاد كرة القدم الأميركي من الموقع خلال هذا التحليل. كما أنه ليس من الواضح ما إذا كان العيب نفسه موجود في تطبيقات NFL الأخرى ، مثل NFL Now و NFL Fantasy Football.

في الوقت الحالي ، احصل على إصلاح Super Bowl من خلال موقع الويب ، وليس تطبيق NFL. لا تضع نفسك في خطر.

المخاطر للمستخدمين مع التطبيق

لا يزال إعادة استخدام كلمة المرور يمثل مشكلة كبيرة ، لذا فقد حذر Wandera من أن المستخدمين الذين لديهم نفس تركيبة البريد الإلكتروني / كلمة المرور للحسابات الأخرى قد يجدوا تلك الحسابات في خطر. يمكن استخدام معلومات الملف الشخصي مثل تاريخ الميلاد والاسم الكامل والبريد الإلكتروني والعناوين البريدية والمهنة ومزود التلفزيون والجنس ورقم الهاتف لسرقة الهوية والخداع والهندسة الاجتماعية.

وقال توفي "تاريخ الميلاد والاسم والعنوان ورقم الهاتف هي لبنات البناء اللازمة المطلوبة لبدء سرقة هوية ناجحة من مشجعي اتحاد كرة القدم الأميركي".

إذا كنت تستخدم نفس كلمة المرور على المواقع الأخرى ، وخاصة المواقع الحساسة مثل الخدمات المصرفية والبريد الإلكتروني ، فقم بتغييرها على الفور.

استهدف المجرمون مواقع وتطبيقات رياضية محترفة في الماضي. تم خداع جماهير NFL من خلال صفحات Facebook المزيفة للضغط على الروابط الخبيثة إلى المواقع التي تخدم برامج Zeus الخبيثة في عام 2013. قدمت Malicious s على MLB.com برامج مكافحة فيروسات مزيفة للزائرين المطمئنين في عام 2012. تطبيق جوال مزيف يتنكر كأجهزة جذر لعبة MADDEN NFL 12 ، عثر الباحثون في McAfee على رسائل SMS تم اعتراضها ، وأجهزة متصلة بشبكة الروبوت ، في عام 2012.

يحب المهاجمون عبر الإنترنت أيضًا استهداف الأحداث الشائعة والعناصر الإخبارية لنشر البرامج الضارة وتنفيذ هجمات التصيد الاحتيالي. تستفيد هذه الهجمات من الأشخاص الذين يبحثون عن أحدث المعلومات والتحديثات. حددت OpenDNS موقعًا إلكترونيًا يحاول تقليد أخبار بي بي سي وتقديم معلومات خاطئة حول إطلاق النار في تشارلي إبدو في وقت سابق من هذا الشهر. كانت هناك العديد من حملات البريد العشوائي والبرامج الضارة التي تستهدف الألعاب الأولمبية في لندن وسوتشي وكذلك ألعاب Super Bowl السابقة. المواقع الإلكترونية التابعة لـ Miami Dolphins تقدم برامج ضارة لمدة أسبوع على الأقل قبل Super Bowl في 2007.

يعرض تطبيق Android Nfl.com بيانات ملف تعريف المستخدم للمهاجمين