Video: How To Watch / Stream The NFL Mobile App To TV (Oktober 2024)
Vegas-bookies holder måske øje med Seattle Seahawks og New England Patriots denne Super Bowl søndag, men black hat-hackere er måske mere interesseret i at indsamle personlige data fra fans 'Android-enheder, advarede et mobilt sikkerhedsfirma i dag.
Angribere ville være i stand til at starte angreb mellem mennesker i midten for at udnytte en alvorlig sårbarhed i den populære NFL Mobile-app, der afslører brugernes følsomme personlige data, der er gemt på Android-enheder, sagde Wandera i en rådgivende. En talsmand for virksomheden fortalte SecurityWatch, problemet forbliver uforandret.
"Det er ironisk, at NFL-appen, ligesom en quarterback er sårbar over for en aflytning, er sårbar over for et mand-i-midten-angreb, der sætter brugernes data i fare for aflytning af hackere, " sagde Eldar Tuvey, administrerende direktør for Wandera.
Ikke-krypterede opkald lækker brugerinfo
Appen kræver, at brugeren skal logge ind sikkert med NFL.com-legitimationsoplysninger, men den lækker derefter brugernavnet og adgangskoden i et sekundært ikke-krypteret API-opkald, fandt Wandera-forskere. Brugernavnet og e-mail-adressen gemmes også i en ikke-krypteret cookie umiddelbart efter login og på efterfølgende opkald til nfl.com. Angriberen kan bruge legitimationsoplysningerne til at få adgang til brugerens fulde profil på nfl.com. Profilsiden er ikke krypteret, hvilket betyder, at angribere kan bruge man-i-midten-angreb til at aflytte data fra siden.
"Risikoen er særlig høj på dette tidspunkt, hvor brugerne sandsynligvis får adgang til appen forud for det største sæsonspil mellem New England Patriots og Seattle Seahawks, " sagde virksomheden i sin rådgivende.
Det er på dette tidspunkt uklart, om gemte kreditkortoplysninger ville være synlige for angriberen, da sikkerhedsteamet ikke forsøgte at købe nogen NFL-branded merchandise fra stedet under denne analyse. Det er heller ikke klart, om den samme fejl findes i andre NFL-apps, såsom NFL Now og NFL Fantasy Football.
For tiden kan du få din Super Bowl-fix via webstedet, ikke NFL-appen. Ikke sæt dig selv i fare.
Risici for brugere med appen
Genbrug af adgangskode er stadig et stort problem, så brugere, der har den samme e-mail / adgangskodekombination for andre konti, kan muligvis finde disse konti kompromitteret, advarede Wandera. Profiloplysninger såsom fødselsdato, fuldt navn, e-mail og postadresser, besættelse, tv-udbyder, køn og telefonnummer kan bruges til identitetstyveri, phishing og social engineering.
"Fødselsdato, navn, adresse og telefonnummer er de nøjagtige byggesten, der kræves for at indlede et vellykket identitetstyveri fra NFL-fans, " sagde Tuvey.
Hvis du bruger den samme adgangskode på andre websteder, især følsomme websteder som bank og e-mail, skal du straks ændre dem.
Kriminelle har målrettet professionelle sportswebsteder og apps tidligere. NFL-fans blev narret af falske Facebook-sider til at klikke på ondsindede links til websteder, der serverer Zeus-malware i 2013. Ondsindede s på MLB.com serverede falske antivirus til intetanende besøgende i 2012. En falske mobilapp, der var maskeret som MADDEN NFL 12-spilforankrede enheder, opfanget SMS-beskeder og tilsluttede enheder til et botnet, fandt McAfee-forskere i 2012.
Cyber-angribere kan også gerne målrette mod populære begivenheder og nyhedsværdige genstande for at sprede malware og udføre phishing-angreb. Disse angreb drager fordel af folk, der leder efter de nyeste oplysninger og opdateringer. OpenDNS identificerede et websted, der forsøgte at efterligne BBC News og servere falske oplysninger om skyderiet på Charlie Hebdo tidligere denne måned. Der var flere spam- og malware-kampagner, der var rettet mod OL i London og Sochi samt tidligere Super Bowl-spil. Websteder, der hører til Miami Dolphins, serverede malware i mindst en uge før Super Bowl i 2007.
