Video: 🏈 HOW TO WATCH NFL FOOTBALL ON AMAZON FIRESTICK OR ANDROID BOX FREE (Oktober 2024)
Vegas-bookies kan se Seattle Seahawks og New England Patriots nøye denne Super Bowl søndag, men svart hat-hackere kan være mer interessert i å samle inn personopplysninger fra fansens Android-enheter, advarte et mobilt sikkerhetsfirma i dag.
Angrepere vil kunne starte angrep fra midten til midten for å utnytte en alvorlig sårbarhet i den populære NFL Mobile-appen som avslører brukernes sensitive personopplysninger som er lagret på Android-enheter, sa Wandera i en rådgivende. En talsperson for selskapet sa til SecurityWatch problemet forblir uforandret.
"Det er ironisk at akkurat som en quarterback som er sårbar for en avskjæring, er NFL-appen sårbar for et menneske-i-midten-angrep som setter brukernes data i fare for avlytting av hackere, " sa Eldar Tuvey, administrerende direktør i Wandera.
Ukryptert samtale lekkasje Brukerinfo
Appen krever at brukeren skal logge inn sikkert med NFL.com-legitimasjon, men den lekker deretter brukernavnet og passordet i et sekundært ukryptert API-anrop, fant Wandera-forskere. Brukernavnet og e-postadressen lagres også i en ukryptert informasjonskapsel umiddelbart etter innlogging og på påfølgende samtaler til nfl.com. Angriperen kan bruke legitimasjonen for å få tilgang til brukerens fulle profil på nfl.com. Profilsiden er ukryptert, noe som betyr at angripere kan bruke mann-i-midten-angrep for å avskjære data fra siden.
"Risikoen er spesielt høy på dette tidspunktet, da brukere sannsynligvis vil få tilgang til appen i forkant av det største spillet i sesongen mellom New England Patriots og Seattle Seahawks, " sa selskapet i sin rådgivende.
Det er uklart på dette tidspunktet om lagret kredittkortinformasjon vil være synlig for angriperen, da sikkerhetsteamet ikke forsøkte å kjøpe noen NFL-merkede varer fra nettstedet under denne analysen. Det er heller ikke klart om den samme feilen eksisterer i andre NFL-apper, for eksempel NFL Now og NFL Fantasy Football.
Foreløpig kan du få Super Bowl-fiksen gjennom nettstedet, ikke NFL-appen. Ikke sett deg i fare.
Risiko for brukere med appen
Gjenbruk av passord er fremdeles et stort problem, så brukere som har den samme e-post / passordkombinasjonen for andre kontoer kan finne disse kontoene kompromittert, advarte Wandera. Profilinformasjon som fødselsdato, fullt navn, e-post- og postadresser, yrke, TV-leverandør, kjønn og telefonnummer kan brukes til identitetstyveri, phishing og sosial ingeniørarbeid.
"Fødselsdato, navn, adresse og telefonnummer er de eksakte byggesteinene som kreves for å sette i gang et vellykket identitetstyveri fra NFL-fansen, " sa Tuvey.
Hvis du bruker det samme passordet på andre nettsteder, spesielt sensitive nettsteder som bank og e-post, må du endre dem umiddelbart.
Kriminelle har målrettet profesjonelle sportssider og apper i det siste. NFL-fans ble lurt av falske Facebook-sider til å klikke på ondsinnede lenker til nettsteder som serverer Zeus skadelig programvare i 2013. Ondsinnede s på MLB.com serverte falske antivirus til intetanende besøkende i 2012. En falsk mobilapp som ble maskeret som MADDEN NFL 12-spillrotede enheter, fanget SMS-meldinger og koblet enheter til et botnet, fant forskere fra McAfee i 2012.
Cyber-angripere liker også å målrette mot populære hendelser og nyhetsverdige artikler for å spre skadelig programvare og utføre phishing-angrep. Disse angrepene drar fordel av folk som leter etter den siste informasjonen og oppdateringene. OpenDNS identifiserte et nettsted som forsøkte å etterligne BBC News og servere falsk informasjon om skuddvekslingen på Charlie Hebdo tidligere denne måneden. Det var flere spam- og malware-kampanjer rettet mot OL i London og Sotsji samt tidligere Super Bowl-spill. Nettsteder som tilhører Miami Dolphins serverte skadelig programvare i minst en uke før Super Bowl i 2007.
