Video: Эмулятор Sega Master System Kega Fusion v3.64 | Туториал по базовым настройкам (November 2024)
Kladioni v Vegasu bodo morda to nedeljo Super Bowla natančno opazovali Seattle Seahawks in New England Patriots, vendar bodo morda hekerji s črnim klobukom bolj zainteresirani za zbiranje osebnih podatkov z Android naprav oboževalcev, je danes opozorila mobilna varnostna družba.
Napadalci bi lahko sprožili napade med ljudmi in tako izkoristili resno ranljivost v priljubljeni aplikaciji NFL Mobile, ki izpostavlja občutljive uporabniške osebne podatke, shranjene na napravah Android, je dejal Wandera. Tiskovni predstavnik podjetja je za SecurityWatch povedal, da težava še vedno ni odpravljena.
"Ironično je, da je tako kot četverica, ki je ranljiva za prestrezanje, tudi aplikacija NFL ranljiva za napad med človekom, ki uporabnike ogroža, da bodo hekerji prestregli podatke, " je dejal Eldar Tuvey, izvršni direktor Wandera.
Uporabniki ne puščajo šifriranih klicev
Aplikacija od uporabnika zahteva, da se varno prijavi s poverilnicami NFL.com, vendar nato v sekundarnem nezašifriranem klicu API-ja pušča uporabniško ime in geslo, so ugotovili raziskovalci Wandere. Uporabniško ime in e-poštni naslov sta shranjena tudi v nekriptiranem piškotku takoj po prijavi in ob poznejših klicih na nfl.com. Napadalec lahko uporabi poverilnice za dostop do polnega profila uporabnika na nfl.com. Stran s profilom ni šifrirana, kar pomeni, da lahko napadalci uporabijo napade z mano v sredini za prestrezanje podatkov s strani.
"Tveganje je še posebej veliko v tem trenutku, ko bodo uporabniki verjetno dostopali do aplikacije pred največjo tekmo sezone med New England Patriots in Seattle Seahawks, " je podjetje sporočilo v svojih svetovanjih.
V tem trenutku ni jasno, ali bodo napadalci vidni shranjeni podatki o kreditni kartici, saj varnostna ekipa med to analizo ni poskušala kupiti nobenega blaga z blagovno znamko NFL. Prav tako ni jasno, če obstaja enaka napaka tudi v drugih NFL aplikacijah, kot sta NFL Now in NFL Fantasy Football.
Zaenkrat popravite Super Bowl na spletnem mestu in ne v aplikaciji NFL. Ne ogrožajte se.
Tveganja za uporabnike z aplikacijo
Ponovna uporaba gesla je še vedno velika težava, zato lahko uporabniki, ki imajo enako kombinacijo e-pošte / gesla za druge račune, ugotovijo, da so ti računi ogroženi, je opozoril Wandera. Podatki o profilu, kot so datum rojstva, polno ime, e-poštni in poštni naslov, poklic, ponudnik televizije, spol in telefonska številka, se lahko uporabljajo za krajo identitete, lažno predstavljanje in socialni inženiring.
"Datum rojstva, ime, naslov in telefonska številka so natančni gradniki, ki so potrebni za uspešno krajo identitete pri navijačih NFL, " je povedal Tuvey.
Če isto geslo uporabljate tudi na drugih spletnih mestih, zlasti na občutljivih spletnih mestih, kot sta bančništvo in e-pošta, jih nemudoma spremenite.
Kriminalisti so v preteklosti ciljali na profesionalna športna mesta in aplikacije. Navijači NFL so z lažnimi Facebookovimi spletkami prevarali, da so v letu 2013. kliknili zlonamerne povezave do spletnih mest, ki prikazujejo zlonamerno programsko opremo Zeus. Zlonamerni s strani MLB.com so v letu 2012 lažni protivirusni streli za ničesar ne sumljive obiskovalce. prestreženi SMS-sporočila in povezane naprave z botnetom, so leta 2012 ugotovili McAfee-jevi raziskovalci.
Tudi kibernetski napadalci radi ciljajo na priljubljene dogodke in novice, ki so pomembne za širjenje zlonamerne programske opreme in izvajanje lažnih napadov. Ti napadi izkoristijo ljudi, ki iščejo najnovejše informacije in posodobitve. OpenDNS je določil spletno mesto, ki poskuša oponašati BBC News in posredovati lažne podatke o streljanju v Charlie Hebdo v začetku tega meseca. Na olimpijskih igrah v Londonu in Sočiju in preteklih igrah Super Bowla je bilo več oglaševalskih akcij proti neželeni in zlonamerni programi. Spletna mesta Miami Delphins so zlonamerno programsko opremo vsaj teden dni pred Super Bowlom leta 2007 hranila zlonamerno programsko opremo.