Video: 10 NFL Players Who Should Be Out of the League...But Still Playing (November 2024)
Kníhkupci z Vegas môžu túto nedeľu Super Bowl pozorne sledovať Seattle Seahawks a New England Patriots, hackeri z oblasti čiernych klobúkov sa však môžu viac zaujímať o zhromažďovanie osobných údajov zo zariadení s Androidom fanúšikov, upozornila dnes mobilná bezpečnostná spoločnosť.
Útočníci by mohli začať útoky typu človek-up-the-middle, aby využili vážnu zraniteľnosť v populárnej aplikácii NFL Mobile, ktorá odhaľuje citlivé osobné údaje používateľov uložené na zariadeniach s Androidom, informovala Wandera v poradenstve. Hovorca spoločnosti povedal spoločnosti SecurityWatch, že problém zostáva neodstránený.
„Je iróniou, že rovnako ako aplikácia quarterback je zraniteľná voči odpočúvaniu, aj aplikácia NFL je zraniteľná voči útoku typu človek v strede, ktorý vystavuje údaje používateľov riziku zachytenia hackermi, “ uviedol Eldar Tuvey, generálny riaditeľ spoločnosti Wander.
Informácie o úniku nešifrovaných hovorov
Aplikácia vyžaduje, aby sa užívateľ bezpečne prihlásil pomocou poverení NFL.com, ale potom uniká používateľské meno a heslo pri sekundárnom nezašifrovanom hovore API, zistili vedci Wandera. Používateľské meno a e-mailová adresa sa tiež ukladajú do nezašifrovaného súboru cookie ihneď po prihlásení a pri ďalších hovoroch na adresu nfl.com. Útočník môže použiť prihlasovacie údaje na prístup k úplnému profilu používateľa na stránke nfl.com. Stránka profilu je nešifrovaná, čo znamená, že útočníci môžu pomocou útokov typu človek v strede zachytiť údaje zo stránky.
„Riziko je v tomto období obzvlášť vysoké, keď používatelia pravdepodobne pristupujú k aplikácii ešte pred najväčšou hrou sezóny medzi New England Patriots a Seattle Seahawks, “ uviedla spoločnosť vo svojom odporúčaní.
V tomto okamihu nie je jasné, či by útočník videl uložené informácie o kreditnej karte, pretože bezpečnostný tím sa počas tejto analýzy nepokúsil kúpiť zo stránky žiadne tovary označené značkou NFL. Nie je tiež jasné, či rovnaká chyba existuje aj v iných aplikáciách NFL, ako napríklad NFL Now a NFL Fantasy Football.
V súčasnosti si opravte svoju Super Bowl prostredníctvom webovej stránky, nie aplikácie NFL. Nevystavujte sa riziku.
Riziká pre používateľov s aplikáciou
Opätovné použitie hesla je stále veľký problém, takže používatelia, ktorí majú rovnakú kombináciu e-mailov a hesiel pre iné účty, môžu tieto účty považovať za ohrozené, upozornila Wandera. Informácie o profiloch, ako sú dátum narodenia, celé meno, e-mailová a poštová adresa, povolanie, poskytovateľ televízie, pohlavie a telefónne číslo, sa môžu použiť na odcudzenie identity, phishing a sociálne inžinierstvo.
„Dátum narodenia, meno, adresa a telefónne číslo sú presné stavebné prvky potrebné na začatie úspešnej krádeže identity od fanúšikov NFL, “ povedal Tuvey.
Ak rovnaké heslo používate na iných weboch, najmä na citlivých stránkach, ako sú bankovníctvo a e-mail, okamžite ich zmeňte.
Zločinci v minulosti zacieľovali na profesionálne športové weby a aplikácie. Fanúšikovia NFL boli oklamaní falošnými stránkami Facebooku, aby v roku 2013 klikli na škodlivé odkazy na stránky, ktoré slúžia škodlivému softvéru spoločnosti Zeus. Škodliví používatelia na serveri MLB.com v roku 2012 slúžili falošným antivírusom netušiacim návštevníkom. zachytené SMS správy a pripojené zariadenia k botnetu, výskumníci spoločnosti McAfee nájdení v roku 2012.
Počítačoví útočníci tiež radi zacieľujú populárne udalosti a novinky, aby šírili škodlivý softvér a vykonávali phishingové útoky. Tieto útoky využívajú ľudí, ktorí hľadajú najnovšie informácie a aktualizácie. OpenDNS identifikoval webovú stránku, ktorá sa pokúšala napodobniť BBC News a podáva nepravdivé informácie o streľbách na Charlie Hebdo začiatkom tohto mesiaca. Uskutočnilo sa niekoľko kampaní zameraných na spam a malware zameraných na olympijské hry v Londýne a Soči, ako aj na minulé hry Super Bowl. Webové stránky delfínov v Miami poskytovali škodlivý softvér najmenej týždeň pred Super Bowl v roku 2007.