Video: Watch NFL Games Without Cable! | Streaming and Over Air Options (Lokakuu 2024)
Vegas-kirjavieraat saattavat seurata Seattle Seahawks- ja New England Patriots -tapahtumia tiiviisti tämän Super Bowl -sunnuntain aikana, mutta mustahattu hakkerit saattavat olla kiinnostuneempia henkilötietojen keräämisestä fanien Android-laitteista, mobiiliturvayritys varoitti tänään.
Hyökkääjät pystyisivät käynnistämään keskellä olevat hyökkäykset hyödyntääkseen suositun NFL-mobiilisovelluksen vakavaa haavoittuvuutta, joka paljastaa käyttäjien Android-laitteisiin tallennetut arkaluontoiset henkilötiedot, Wandera totesi neuvoissaan. Yrityksen tiedottaja kertoi SecurityWatchille, että ongelmaa ei ole vielä poistettu.
"On ironista, että aivan kuten pelinrakentaja on haavoittuva sieppaukselle, NFL-sovellus on haavoittuvainen keskinäisen hyökkäykselle, joka asettaa käyttäjien tiedot hakkereiden sieppaamisen vaaraan", sanoi Eldar Tuvey, toimitusjohtajan pääjohtaja. Wandera.
Salaamattomat puhelut vuotavat käyttäjän tietoja
Sovellus vaatii käyttäjän kirjautumista sisään turvallisesti NFL.com -rekisterillä, mutta sitten vuotaa käyttäjänimi ja salasana toissijaisessa salaamattomassa API-puhelussa, Wandera-tutkijat löysivät. Käyttäjätunnus ja sähköpostiosoite tallennetaan myös salaamattomaan evästeeseen heti sisäänkirjautumisen jälkeen ja seuraavissa nfl.com-puheluissa. Hyökkääjä voi käyttää käyttöoikeustietoja päästäkseen käyttäjän koko profiiliin nfl.com-sivustossa. Profiilisivu ei ole salattu, mikä tarkoittaa, että hyökkääjät voivat käyttää keskellä olevia ihmisiä -hyökkäyksiä sieppaamaan sivun tietoja.
"Riski on erityisen suuri tällä hetkellä, kun käyttäjät todennäköisesti pääsevät sovellukseen ennen kauden suurimpaa peliä New England Patriotsin ja Seattle Seahawksin välillä", yritys totesi neuvonannossaan.
Tässä vaiheessa on epäselvää, ovatko tallennetut luottokorttitiedot hyökkääjän nähtävissä, koska turvallisuusjoukkue ei yrittänyt ostaa NFL-merkkisiä tavaroita sivustolta tämän analyysin aikana. Ei ole myöskään epäselvää, esiintyykö sama virhe muissa NFL-sovelluksissa, kuten NFL Now ja NFL Fantasy Football.
Toistaiseksi hanki Super Bowl -korjauksesi verkkosivuston kautta, ei NFL-sovelluksen kautta. Älä aseta itsesi vaaraan.
Käyttäjille aiheutuvat riskit sovelluksen kanssa
Salasanan uudelleenkäyttö on edelleen suuri ongelma, joten käyttäjät, joilla on sama sähköpostien ja salasanojen yhdistelmä muille tileille, saattavat löytää tilit vaarantuneiksi, Wandera varoitti. Profiilitietoja, kuten syntymäaika, koko nimi, sähköposti- ja postiosoitteet, ammatti, TV-palveluntarjoaja, sukupuoli ja puhelinnumero, voidaan käyttää henkilöllisyysvarkauksiin, tietojenkalasteluun ja sosiaaliseen suunnitteluun.
"Syntymäaika, nimi, osoite ja puhelinnumero ovat tarkkoja rakennuspalikoita, joita tarvitaan onnistuneen henkilöllisyysvarkauden käynnistämiseksi NFL: n faneilta", Tuvey sanoi.
Jos käytät samaa salasanaa muilla sivustoilla, etenkin arkaluontoisissa sivustoissa, kuten pankki- ja sähköpostiosoitteissa, vaihda ne välittömästi.
Rikolliset ovat aiemmin kohdistaneet ammattilaisurheilusivustoja ja -sovelluksia. Vääriä Facebook-sivuja huijasi NFL-faneja napsauttamaan haitallisia linkkejä sivustoille, jotka palvelevat Zeuksen haittaohjelmia vuonna 2013. MLB.com: n haittaohjelmat tarjosivat väärennettyjä viruksia virheetöntä kävijöille vuonna 2012. Väärennetty mobiilisovellus, joka naamioitu MADDEN NFL 12 -pelin juurtuneiksi laitteiksi, siepatut tekstiviestit ja kytketyt laitteet bottiverkkoon, McAfeen tutkijat löysivät vuonna 2012.
Kyberhyökkääjät haluavat myös kohdistaa suosittuja tapahtumia ja uutisarvoisia esineitä levittääkseen haittaohjelmia ja suorittaakseen tietojenkalasteluhyökkäyksiä. Nämä hyökkäykset hyödyntävät ihmisiä, jotka etsivät uusinta tietoa ja päivityksiä. OpenDNS tunnisti verkkosivuston, joka yritti jäljitellä BBC News -sivustoa ja tarjosi vääriä tietoja Charlie Hebdossa aikaisemmin tässä kuussa tehdyistä ampumista koskevista tiedoista. Lontoon ja Sotšin olympialaisissa sekä aiemmissa Super Bowl -peleissä oli useita roskapostia ja haittaohjelmia käsitteleviä kampanjoita. Miami Dolphins -verkkosivustot tarjosivat haittaohjelmia vähintään viikon ennen Super Bowlia vuonna 2007.
