Видео: Is this the best Football Video Game in 2020? | Sunday Rivals Gameplay (Ноември 2024)
Букмейкърите от Вегас може би наблюдават отблизо Сиатъл Сийхакс и Ню Англия Патриоти в тази неделя на Super Bowl, но хакерите с черна шапка може да са по-заинтересовани да събират лични данни от Android устройства на феновете, предупреди днес мобилна охранителна фирма.
Нападателите биха могли да стартират атаки на човек в средата, за да се възползват от сериозна уязвимост в популярното приложение NFL Mobile, което разкрива чувствителните лични данни на потребителите, съхранявани на устройства с Android, заяви Wandera в съвет. Говорител на компанията заяви пред SecurityWatch, че проблемът остава нефиксиран.
„Иронично е, че точно като защитник, който е уязвим при прихващане, приложението NFL е уязвимо за атака„ човек в средата “, която излага данните на потребителите в риск от прихващане от хакери“, казва Елдар Тюви, изпълнителен директор на Wandera.
Некриптирани повиквания изтичат информация за потребителя
Приложението изисква от потребителя да влезе сигурно с идентификационни данни на NFL.com, но след това изтича потребителското име и паролата при вторично незашифровано повикване на API, установиха изследователите на Wandera. Потребителското име и имейл адресът също се съхраняват в незашифрована бисквитка веднага след влизане и при последващи обаждания към nfl.com. Нападателят може да използва идентификационните данни за достъп до пълния профил на потребителя в nfl.com. Страницата с потребителския профил е нешифрована, което означава, че нападателите могат да използват атаки от човек в средата, за да прихващат данни от страницата.
"Рискът е особено голям в този момент, когато потребителите вероятно ще имат достъп до приложението преди най-голямата игра на сезона между New England Patriots и Сиатъл Seahawks", се казва в съобщението на компанията.
Понастоящем не е ясно дали запазената информация за кредитната карта ще бъде видима за нападателя, тъй като екипът по сигурността не се опита да закупи от сайта никоя марка NFL от този сайт. Също така не е ясно дали същият недостатък съществува и в други приложения на NFL, като NFL Now и NFL Fantasy Football.
За момента вземете корекцията си Super Bowl през уебсайта, а не в приложението NFL. Не се излагайте на риск.
Рискове за потребителите с приложението
Използването на парола все още е голям проблем, така че потребителите, които имат същата комбинация от имейл / парола за други акаунти, могат да намерят тези акаунти компрометирани, предупреди Wandera. Информацията за профила, като дата на раждане, пълно име, имейл и пощенски адреси, професия, телевизионен доставчик, пол и телефонен номер, може да се използва за кражба на самоличност, фишинг и социален инженеринг.
"Дата на раждане, име, адрес и телефонен номер са точните градивни елементи, необходими за иницииране на успешна кражба на самоличност от феновете на NFL", каза Туви.
Ако използвате същата парола на други сайтове, особено чувствителни сайтове като банкиране и имейл, сменете ги незабавно.
В миналото престъпниците са насочени към професионални спортни сайтове и приложения. Феновете на NFL бяха излъгани от фалшиви страници във Facebook, за да кликнат върху злонамерени връзки към сайтове, обслужващи зловреден софтуер на Zeus през 2013 г. Зловредните сайтове на MLB.com сервираха фалшив антивирус за нищо неподозиращи посетители през 2012 г. Лъжливо мобилно приложение, маскирано като устройствата за игра MADDEN NFL 12, вкоренени, прихващани SMS съобщения и свързани устройства към ботнет, изследователите на McAfee откриха през 2012 г.
Кибер-атакуващите също обичат да се насочват към популярни събития и новинарски елементи, за да разпространяват злонамерен софтуер и да извършват фишинг атаки. Тези атаки се възползват от хората, които търсят най-новата информация и актуализации. OpenDNS идентифицира уебсайт, който се опитва да имитира BBC News и предоставя невярна информация за стрелбите в Charlie Hebdo по-рано този месец. Имаше няколко кампании за спам и злонамерен софтуер, насочени към Олимпиадата в Лондон и Сочи, както и миналите игри Super Bowl. Уебсайтове, принадлежащи на делфините в Маями, обслужваха злонамерен софтуер поне седмица преди Super Bowl през 2007 г.