セキュリティウォッチ Nfl.com Androidアプリはユーザープロファイルデータを攻撃者に公開します

Nfl.com Androidアプリはユーザープロファイルデータを攻撃者に公開します

ビデオ: The XFL's Letter to YOU! (十一月 2024)

ビデオ: The XFL's Letter to YOU! (十一月 2024)
Anonim

ベガスのブックメーカーは、今週のスーパーボウル日曜日にシアトル・シーホークスとニューイングランド・ペイトリオッツを注意深く見ているかもしれませんが、ブラックハットのハッカーはファンのAndroidデバイスから個人データを収集することに関心があるかもしれません、とモバイルセキュリティ会社は警告しました。

攻撃者は中間者攻撃を仕掛けて、Androidデバイスに保存されているユーザーの機密個人データを公開する人気のあるNFLモバイルアプリの深刻な脆弱性を悪用することができるとWanderaは勧告で述べています。 会社の広報担当者は、 SecurityWatch に問題は未解決のままだと語った。

「皮肉なことに、クォーターバックが傍受に対して脆弱であるように、NFLアプリは、ユーザーのデータをハッカーによる傍受の危険にさらす中間者攻撃に対して脆弱です」と、CEOのEldar Tuveyは述べています。ワンダラ。

暗号化されていない通話リークのユーザー情報

このアプリでは、ユーザーがNFL.comの資格情報で安全にサインインする必要がありますが、その後、2番目の暗号化されていないAPI呼び出しでユーザー名とパスワードが漏洩します、とWanderaの研究者は発見しました。 ユーザー名と電子メールアドレスは、ログイン直後およびその後のnfl.comへの呼び出し時に、暗号化されていないCookieにも保存されます。 攻撃者は資格情報を使用して、nfl.com上のユーザーの完全なプロファイルにアクセスできます。 プロファイルページは暗号化されていないため、攻撃者は中間者攻撃を使用してページからデータを傍受できます。

「現時点では、ユーザーがニューイングランド・ペイトリオッツとシアトル・シーホークスのシーズン最大の試合に先立ってアプリにアクセスする可能性が高いため、リスクは特に高い」と同社はアドバイザリーで述べた。

セキュリティチームはこの分析中にサイトからNFLブランドの商品を購入しようとしなかったため、保存されたクレジットカード情報が攻撃者に見えるかどうかは現時点では不明です。 NFL NowやNFL Fantasy Footballなどの他のNFLアプリにも同じ欠陥が存在するかどうかは明らかではありません。

とりあえず、NFLアプリではなくWebサイトからスーパーボウルの修正を入手してください。 危険にさらさないでください。

アプリを使用するユーザーに対するリスク

パスワードの再利用は依然として大きな問題であるため、他のアカウントと同じメール/パスワードの組み合わせを使用しているユーザーは、それらのアカウントが侵害されている可能性があるとWanderaは警告しています。 生年月日、氏名、メールアドレス、住所、職業、テレビプロバイダー、性別、電話番号などのプロファイル情報は、個人情報の盗難、フィッシング、ソーシャルエンジニアリングに使用できます。

「生年月日、名前、住所、電話番号は、NFLファンからの個人情報の盗難を成功させるために必要な正確な構成要素です」とTuvey氏は言います。

他のサイト、特に銀行や電子メールなどの機密性の高いサイトで同じパスワードを使用している場合は、すぐに変更してください。

犯罪者は、過去にプロのスポーツサイトとアプリをターゲットにしています。 NFLファンは、2013年に偽のFacebookページからZeusマルウェアを提供するサイトへの悪意のあるリンクをクリックするようにtrickされました。2012年、MLB.comの悪意のあるs 2012年に発見されたMcAfeeの研究者は、SMSメッセージを傍受し、デバイスをボットネットに接続しました。

サイバー攻撃者はまた、マルウェアを拡散し、フィッシング攻撃を実行するために、人気のあるイベントやニュース価値のあるアイテムを標的にしています。 これらの攻撃は、最新の情報と更新を探している人々を利用します。 OpenDNSは、BBCニュースをまねようとし、今月初めにチャーリー・ヘブドでの銃撃に関する誤った情報を提供しようとしているウェブサイトを特定しました。 ロンドンとソチでのオリンピックや過去のスーパーボウルの試合をターゲットにしたスパムとマルウェアのキャンペーンがいくつかありました。 Miami Dolphinsに属するWebサイトは、2007年のスーパーボウルの1週間前からマルウェアを提供していました。

Nfl.com Androidアプリはユーザープロファイルデータを攻撃者に公開します