Програма для Android Nfl.com викриває зловмисників дані профілю користувача

Букмекери в Вегасі, можливо, уважно спостерігають за Сіетл-Сіуоксом та Патріотами Нової Англії в цю Супербоул-неділю, але хакери з чорною шапочкою можуть бути більше зацікавлені у збиранні особистих даних з Android-пристроїв шанувальників, сьогодні попередила мобільна охоронна фірма.

Зловмисники зможуть запустити атаки "людина-в-середині", щоб використати серйозну вразливість у популярному додатку NFL Mobile, який відкриває чутливі особисті дані користувачів, що зберігаються на пристроях Android, сказала Вандера в дорадчій справі. Прес-секретар компанії повідомив SecurityWatch, що проблема залишається невиправленою.

"Іронічно, що так само, як квотбек, вразливий до перехоплення, додаток NFL вразливий до атаки" посередник ", яка ставить дані користувачів до ризику перехоплення хакерами", - сказав Ельдар Тюві, генеральний директор Вандера.

Не шифровані дзвінки Витік інформації про користувача

Додаток вимагає від користувача безпечного входу з обліковими записами NFL.com, але потім він просочує ім'я користувача та пароль під час вторинного незашифрованого виклику API, виявили дослідники Wandera. Ім’я користувача та електронна адреса також зберігаються в незашифрованому файлі cookie відразу після входу та при наступних дзвінках на nfl.com. Зловмисник може використовувати облікові дані для доступу до повного профілю користувача на nfl.com. Сторінка профілю незашифрована, що означає, що зловмисники можуть використовувати атаки "людина-в-середині" для перехоплення даних зі сторінки.

"Ризик особливо високий у цей час, коли користувачі, ймовірно, отримають доступ до програми перед найбільшою грою сезону між" New England Patriots "і" Сіетл Сійхокс ", - йдеться в повідомленні компанії.

На даний момент незрозуміло, чи буде збережена інформація про кредитні картки видимою для зловмисника, оскільки група безпеки під час цього аналізу не намагалася придбати будь-яку товарну марку NFL з сайту. Також незрозуміло, чи є такий самий недолік у інших додатках NFL, таких як NFL Now та NFL Fantasy Football.

Наразі отримайте виправлення Super Bowl через веб-сайт, а не додаток NFL. Не піддавайте себе ризику.

Ризики для користувачів із додатком

Повторне використання паролю все ще залишається великою проблемою, тому користувачі, які мають таку ж комбінацію електронної пошти / пароля для інших облікових записів, можуть знайти ці облікові записи порушені, попередила Вандера. Інформація про профіль, наприклад, дата народження, повне ім’я, електронна адреса та поштові адреси, професія, телевізійний провайдер, стать та номер телефону, можуть використовуватися для крадіжок особи, фішингу та соціальних інженерій.

"Дата народження, ім'я, адреса та номер телефону - це точні будівельні блоки, необхідні для того, щоб ініціювати успішну крадіжку особи з боку шанувальників NFL", - сказав Туві.

Якщо ви використовуєте той самий пароль на інших сайтах, особливо на чутливих сайтах, таких як банківська справа та електронна пошта, негайно змініть їх.

У минулому злочинці орієнтувались на професійні спортивні сайти та програми. Вболівальники NFL були обдурені фальшивими сторінками Facebook на натискання зловмисних посилань на сайти, що обслуговують зловмисне програмне забезпечення Zeus у 2013 році. Зловмисні програми на MLB.com подавали підроблений антивірус для підозрілих відвідувачів у 2012 році. Підроблений мобільний додаток, що маскується як ігрові пристрої MADDEN NFL 12, перехоплені SMS-повідомлення та підключені пристрої до ботнету, дослідники McAfee виявили у 2012 році.

Кібер-нападники також люблять націлювати на популярні події та новини, які цікаві новинам, щоб розповсюджувати зловмисне програмне забезпечення та виконувати фішинг-атаки. Цими атаками користуються люди, які шукають найновішу інформацію та оновлення. OpenDNS виявив веб-сайт, який намагається наслідувати BBC News та подає недостовірну інформацію про зйомки в Чарлі Хебдо на початку цього місяця. Було проведено кілька кампаній зі спамом та зловмисним програм, націлених на Олімпіаду в Лондоні та Сочі, а також на минулі ігри Super Super Bowl. Веб-сайти, що належать до дельфінів у Маямі, подавали зловмисне програмне забезпечення щонайменше тиждень до Суперкубка у 2007 році.