Vídeo: Night (De novembre 2024)
Els bookies de Vegas podrien veure els Seattle Seahawks i New England Patriots aquest diumenge de Super Bowl, però els hackers de barret negre poden estar més interessats a recopilar dades personals dels dispositius Android dels fanàtics, ha avisat avui una firma de seguretat mòbil.
Els atacants podrien llançar atacs man-in-the-middle per explotar una greu vulnerabilitat en la popular aplicació NFL Mobile que exposa les dades personals sensibles dels usuaris emmagatzemats en dispositius Android, va dir Wandera en un comunicat. Un portaveu de la companyia va dir a SecurityWatch que el problema encara no s'ha solucionat.
"És irònic que de la mateixa manera que un quarterback sigui vulnerable a una intercepció, l'aplicació NFL és vulnerable a un atac de mà al mig que posa les dades dels usuaris en risc d'intercepció per part dels hackers", va dir Eldar Tuvey, el conseller delegat de Wandera.
Trucades no xifrades La informació d’usuari fuga
L'aplicació requereix que l'usuari iniciï la sessió de manera segura amb les credencials de la NFL.com, però després filtra el nom d'usuari i la contrasenya en una trucada d'API secundària sense xifrar, han trobat investigadors de Wandera. El nom d’usuari i l’adreça de correu electrònic també s’emmagatzemen en una galeta no xifrada immediatament després de l’inici de sessió i en les trucades posteriors a nfl.com. L’atacant pot utilitzar les credencials per accedir al perfil complet de l’usuari a nfl.com. La pàgina de perfil no està xifrada, el que significa que els atacants poden utilitzar atacs man-in-the-middle per interceptar dades de la pàgina.
"El risc és especialment elevat en aquest moment, quan és probable que els usuaris accedeixin a l'aplicació per davant del joc més gran de la temporada entre New England Patriots i Seattle Seahawks", va dir la companyia a la seva notificació.
En aquest moment no està clar si la informació de la targeta de crèdit guardada seria visible per a l’atacant, ja que l’equip de seguretat no va intentar comprar cap mercaderia de la marca NFL del lloc durant aquesta anàlisi. Tampoc està clar si existeix el mateix defecte en altres aplicacions NFL, com ara NFL Now i NFL Fantasy Football.
De moment, aconseguiu corregir el vostre Super Bowl mitjançant el lloc web i no l’aplicació NFL. No us poseu en risc.
Riscos per als usuaris amb l'aplicació
La reutilització de contrasenyes continua sent un gran problema, de manera que els usuaris que tinguin la mateixa combinació de correu electrònic i contrasenya per a altres comptes poden trobar aquests comptes compromesos, va advertir Wandera. Podeu utilitzar informació de perfil com ara data de naixement, nom complet, adreces de correu electrònic i postal, ocupació, proveïdor de televisió, gènere i número de telèfon per al robatori d'identitat, el phishing i l'enginyeria social.
"La data de naixement, el nom, l'adreça i el número de telèfon són els blocs de construcció exactes necessaris per iniciar un robatori d'identitat amb èxit dels fans de la NFL", va dir Tuvey.
Si utilitzeu la mateixa contrasenya en altres llocs, en particular, llocs delicats com ara banca i correu electrònic, canvieu-los immediatament.
Els criminals han dirigit llocs i aplicacions esportives professionals en el passat. Els aficionats a la NFL es van enganyar a les pàgines de Facebook falses en fer clic en enllaços maliciosos a llocs que servien programari maliciós Zeus el 2013. Els programes maliciosos de MLB.com van servir antivirus falsos per als visitants que no tenien en compte el 2012. Els investigadors de McAfee van trobar el 2012 un missatge interceptat i dispositius connectats a una botnet.
Els ciber-atacants també els agrada orientar-se a esdeveniments populars i articles de notícies per difondre programari maliciós i executar atacs de pesca. Aquests atacs aprofiten la gent que cerca la informació i les actualitzacions més recents. OpenDNS va identificar un lloc web que intentava imitar la BBC News i que va proporcionar informació falsa sobre els afusellaments a Charlie Hebdo a principis d’aquest mes. Hi va haver diverses campanyes de correu brossa i de programari maliciós dirigits als Jocs Olímpics de Londres i Sochi, així com passats jocs de Super Bowl. Els llocs web que pertanyen als Dofins de Miami van servir el malware durant almenys una setmana abans del Super Bowl el 2007.