Video: How To Watch / Stream The NFL Mobile App To TV (Listopad 2024)
Bookmisté ve Vegas mohou tuto neděli Super Bowl pozorně sledovat Seattle Seahawks a New England Patriots, ale hackeři s černým kloboukem se mohou více zajímat o shromažďování osobních údajů ze zařízení Android fanoušků, varovala dnes mobilní bezpečnostní firma.
Útočníci by byli schopni zahájit útoky typu člověk-uprostřed, aby využili vážné zranitelnosti v populární aplikaci NFL Mobile, která odhaluje citlivá osobní data uživatelů uložená v zařízeních Android, uvedla Wandera v radě. Mluvčí společnosti řekl společnosti SecurityWatch, že problém není opraven.
„Je ironické, že stejně jako aplikace quarterback je zranitelná vůči zachycení, aplikace NFL je zranitelná vůči útoku typu člověk-uprostřed, který vystavuje data uživatelů riziku zachycení hackery, “ řekl Eldar Tuvey, generální ředitel společnosti Wandere.
Nešifrovaná volání Leak Informace o uživateli
Aplikace vyžaduje, aby se uživatel bezpečně přihlásil pomocí pověření NFL.com, ale poté při sekundárním nešifrovaném volání API uniká uživatelské jméno a heslo, zjistili vědci z Wandery. Uživatelské jméno a e-mailová adresa jsou také uloženy v nešifrovaném cookie ihned po přihlášení a při následných hovorech na nfl.com. Útočník může použít přihlašovací údaje pro přístup k úplnému profilu uživatele na nfl.com. Stránka profilu je nešifrovaná, což znamená, že útočníci mohou k zachycení dat ze stránky použít útoky typu man-in-the-middle.
"Riziko je zvláště vysoké v této době, kdy uživatelé pravděpodobně přistupují k aplikaci před největší hrou sezóny mezi New England Patriots a Seattle Seahawks, " uvedla společnost ve svém doporučení.
V tomto okamžiku není jasné, zda by útočník viděl uložené informace o kreditní kartě, protože bezpečnostní tým se během této analýzy nepokoušel koupit z webu žádné zboží se značkou NFL. Není také jasné, zda stejná chyba existuje i v jiných aplikacích NFL, jako je NFL Now a NFL Fantasy Football.
Prozatím si opravte Super Bowl prostřednictvím webu, ne pomocí aplikace NFL. Neohrožujte se.
Rizika pro uživatele s aplikací
Opětovné použití hesla je stále velkým problémem, takže uživatelé, kteří mají stejnou kombinaci e-mail / heslo pro jiné účty, mohou tyto účty považovat za ohrožené, upozornila Wandera. Pro krádež identity, phishing a sociální inženýrství lze použít informace o profilu, jako je datum narození, celé jméno, e-mailová a poštovní adresa, povolání, poskytovatel TV, pohlaví a telefonní číslo.
„Datum narození, jméno, adresa a telefonní číslo jsou přesné stavební kameny potřebné k zahájení úspěšné krádeže identity od fanoušků NFL, “ řekl Tuvey.
Pokud používáte stejné heslo na jiných webech, zejména na citlivých webech, jako je bankovnictví a e-mail, okamžitě je změňte.
Zločinci v minulosti zacílili na profesionální sportovní weby a aplikace. Fanoušci NFL byli podvedeni falešnými stránkami Facebooku, aby v roce 2013 klikli na škodlivé odkazy na weby, které obsluhují malware Zeus. Škodliví uživatelé na webu MLB.com v roce 2012 sloužili falešnému antiviru ničemu netušícím návštěvníkům. zachytili zprávy SMS a připojili zařízení k botnetu. Výzkumníci společnosti McAfee našli v roce 2012.
Kybernetičtí útočníci také rádi zacílí na oblíbené události a novinky, aby šířili malware a prováděli phishingové útoky. Tyto útoky využívají lidé, kteří hledají nejnovější informace a aktualizace. OpenDNS identifikoval web, který se pokoušel napodobovat BBC News a zobrazoval nepravdivé informace o střelbách na Charlie Hebdo počátkem tohoto měsíce. Proběhlo několik kampaní proti spamu a malwaru zaměřených na olympijské hry v Londýně a Soči a také na minulé hry Super Bowl. Webové stránky Miami Dolphins poskytovaly malware nejméně týden před Super Bowl v roce 2007.
