Video: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)
Gli allibratori di Las Vegas potrebbero guardare i Seahawks di Seattle e i New England Patriots da vicino questa domenica del Super Bowl, ma gli hacker black hat potrebbero essere più interessati a raccogliere dati personali dai dispositivi Android dei fan, ha avvertito oggi una società di sicurezza mobile.
Gli aggressori sarebbero in grado di lanciare attacchi man-in-the-middle per sfruttare una grave vulnerabilità nella famosa app NFL Mobile che espone i dati personali sensibili degli utenti archiviati su dispositivi Android, ha dichiarato Wandera in un avviso. Un portavoce della compagnia ha dichiarato a SecurityWatch che il problema non è stato risolto.
"È ironico che proprio come un quarterback sia vulnerabile a un'intercettazione, l'app NFL è vulnerabile a un attacco man-in-the-middle che mette i dati degli utenti a rischio di intercettazione da parte di hacker", ha affermato Eldar Tuvey, CEO di Wandera.
Chiamate non crittografate Perdono informazioni utente
L'app richiede all'utente di accedere in modo sicuro con le credenziali di NFL.com, ma perde il nome utente e la password in una chiamata API non crittografata secondaria, hanno scoperto i ricercatori di Wandera. Il nome utente e l'indirizzo e-mail vengono inoltre memorizzati in un cookie non crittografato immediatamente dopo l'accesso e nelle successive chiamate a nfl.com. L'utente malintenzionato può utilizzare le credenziali per accedere al profilo completo dell'utente su nfl.com. La pagina del profilo non è crittografata, il che significa che gli aggressori possono utilizzare attacchi man-in-the-middle per intercettare i dati dalla pagina.
"Il rischio è particolarmente elevato in questo momento, quando è probabile che gli utenti accedano all'app prima del più grande gioco della stagione tra New England Patriots e Seattle Seahawks", ha dichiarato la società nel suo advisory.
Non è chiaro a questo punto se le informazioni salvate sulla carta di credito siano visibili all'attaccante, dal momento che il team di sicurezza non ha tentato di acquistare merce con marchio NFL dal sito durante questa analisi. Inoltre, non è chiaro se esiste lo stesso difetto in altre app NFL, come NFL Now e NFL Fantasy Football.
Per il momento, scarica la correzione del Super Bowl attraverso il sito Web, non l'app NFL. Non metterti a rischio.
Rischi per gli utenti con l'app
Il riutilizzo della password è ancora un grosso problema, quindi gli utenti che hanno la stessa combinazione email / password per altri account possono trovare quegli account compromessi, Wandera ha avvertito. Le informazioni del profilo come data di nascita, nome completo, indirizzo e-mail e postale, occupazione, fornitore di servizi televisivi, genere e numero di telefono possono essere utilizzate per il furto di identità, il phishing e l'ingegneria sociale.
"Data di nascita, nome, indirizzo e numero di telefono sono gli elementi costitutivi esatti necessari per avviare un furto di identità di successo da parte dei fan della NFL", ha detto Tuvey.
Se si utilizza la stessa password su altri siti, in particolare siti sensibili come servizi bancari ed e-mail, cambiarli immediatamente.
I criminali hanno preso di mira siti e app di sport professionali in passato. I fan della NFL sono stati ingannati da false pagine di Facebook nel fare clic su collegamenti dannosi a siti che servono malware Zeus nel 2013. Nel 2012 i malware di MLB.com hanno offerto antivirus falsi a visitatori ignari. intercettano i messaggi SMS e collegano i dispositivi a una botnet, i ricercatori di McAfee hanno scoperto nel 2012.
Anche i cyberattaccanti amano prendere di mira eventi popolari e articoli interessanti per diffondere malware ed eseguire attacchi di phishing. Questi attacchi sfruttano le persone che cercano le informazioni e gli aggiornamenti più recenti. OpenDNS ha identificato un sito Web che tenta di imitare BBC News e che fornisce false informazioni sulle sparatorie a Charlie Hebdo all'inizio di questo mese. Ci sono state diverse campagne di spam e malware destinate alle Olimpiadi di Londra e di Sochi, oltre ai precedenti giochi del Super Bowl. I siti Web appartenenti ai Miami Dolphins hanno fornito malware per almeno una settimana prima del Super Bowl nel 2007.