Videó: 🏈 HOW TO WATCH NFL FOOTBALL ON AMAZON FIRESTICK OR ANDROID BOX FREE (November 2024)
A vegasi könyvesek talán a Seattle Seahawks és az New England Patriots szigorúan figyelték ezt a Super Bowl vasárnapot, de a fekete kalap hackerek inkább érdekli a személyes adatok gyűjtését a rajongók Android-eszközeiről - jelentette a mobil biztonsági cég ma.
A támadók képesek lesznek közép-közepes támadásokat indítani a népszerű NFL mobilalkalmazás súlyos sebezhetőségének kihasználása érdekében, amely felfedi a felhasználók Android-eszközökön tárolt érzékeny személyes adatait - mondta Wandera egy tanácsban. A cég szóvivője elmondta a SecurityWatch-nek, hogy a probléma továbbra sem oldódott meg.
"Ironikus, hogy ugyanúgy, mint a hátvéd, mivel érzékenyek a lehallgatásra, az NFL alkalmazás is ki van téve egy középtávú támadásnak, amely a felhasználók adatait veszélyezteti a hackerek általi lehallgatás veszélyével" - mondta Eldar Tuvey, a Wandera.
A nem titkosított hívások kiszivárogtatják a felhasználói információkat
Az alkalmazás megköveteli a felhasználótól, hogy biztonságosan jelentkezzen be az NFL.com hitelesítő adatokkal, de ezután kiszivárogtatja a felhasználónevet és a jelszót egy másodlagos, titkosítatlan API-hívás során - találták a Wandera kutatói. A felhasználónevet és az e-mail címet egy nem titkosított süti is tárolja közvetlenül a bejelentkezés után és az nfl.com későbbi hívásain. A támadó a hitelesítő adatokkal hozzáférhet a felhasználó teljes profiljához az nfl.com webhelyen. A profiloldal nincs titkosítva, ami azt jelenti, hogy a támadók a középső ember támadásait használhatják az oldal adatainak elfogására.
"Különösen magas a kockázat ebben az időben, amikor a felhasználók valószínűleg hozzáférnek az alkalmazáshoz a szezon legnagyobb meccse előtt a New England Patriots és a Seattle Seahawks között" - mondta a cég tanácsadója.
Jelenleg nem egyértelmű, hogy a mentett hitelkártya-információk láthatóak lennének-e a támadó számára, mivel a biztonsági csapat nem kísérelte meg az NFL-márkájú áruk megvásárlását a webhelyről az elemzés során. Az sem világos, hogy ugyanaz a hiba létezik-e más NFL-alkalmazásokban, mint például az NFL Now és az NFL Fantasy Football.
Egyelőre szerezze be a Super Bowl javítását a webhelyen, nem pedig az NFL alkalmazáson keresztül. Ne tegye magát veszélybe.
Kockázatok a felhasználók számára az alkalmazással
A jelszó újbóli használata továbbra is nagy probléma, így azok a felhasználók, akiknek ugyanaz az e-mail / jelszó kombinációja más fiókokhoz, valószínűleg veszélyeztetik ezeket a fiókokat - figyelmeztette Wandera. A profil adatai, például a születési dátum, teljes név, e-mail és postai címek, foglalkozás, TV-szolgáltató, nem és telefonszám felhasználhatók személyazonosság-lopáshoz, adathalászhoz és szociális mérnökökhöz.
"A születési idő, a név, a cím és a telefonszám a pontos építőelemek, amelyek szükségesek az NFL rajongók általi sikeres személyazonosság-lopás kezdeményezéséhez" - mondta Tuvey.
Ha ugyanazt a jelszót más webhelyeken használja, különösen olyan érzékeny webhelyeken, mint a banki és az e-mail, akkor azonnal módosítsa azokat.
A bűnözők a múltban professzionális sporthelyeket és alkalmazásokat céloztak meg. Az NFL rajongóit egy hamis Facebook oldal becsapta, hogy 2013-ban a Zeus rosszindulatú szoftvereket kiszolgáló webhelyekre mutató rosszindulatú linkekre kattinthassanak. Az MLB.com oldalon lévő rosszindulatú programok hamis vírusölőt jelentettek a 2012-ben a gyanútlan látogatók számára. elfogott SMS-üzeneteket és csatlakoztatott eszközöket egy bothálózathoz, találták a McAfee kutatói 2012-ben.
A számítógépes támadók népszerű eseményeket és híres cikkeket is céloznak a rosszindulatú programok elterjesztése és az adathalász támadások végrehajtása érdekében. Ezek a támadások kihasználják az emberek előnyeit, akik a legfrissebb információkat és frissítéseket keresik. Az OpenDNS egy olyan webhelyet azonosított, amely megkísérelte utánozni a BBC News-t, és hamis információkat szolgáltatott a Charlie Hebdoban a hónap elején lezajlott lövésekről. Számos spam- és malware-kampány volt a londoni és a szocsi-i olimpia, valamint a korábbi Super Bowl-játékok célzására. A Miami Dolphinokhoz tartozó webhelyek legalább egy héten a 2007-es Super Bowl előtt szolgáltak fel rosszindulatú szoftverekkel.
