Video: VOLA SPORTS BYE BYE (APP NOT WORKING?) BEST ALTERNATIVES FOR SPORTS ON YOUR FIRESTICK - 2020 (November 2024)
Bookies in Vegas kunnen deze Sea Bowl-zondag de Seattle Seahawks en New England Patriots nauwlettend in de gaten houden, maar hackers met zwarte hoeden zijn misschien meer geïnteresseerd in het verzamelen van persoonlijke gegevens van Android-apparaten van fans, waarschuwde een mobiel beveiligingsbedrijf vandaag.
Aanvallers zouden man-in-the-middle-aanvallen kunnen starten om een ernstige kwetsbaarheid te misbruiken in de populaire NFL Mobile-app die gevoelige persoonlijke gegevens van gebruikers op Android-apparaten blootlegt, zei Wandera in een advies. Een woordvoerder van het bedrijf vertelde SecurityWatch dat het probleem niet is opgelost.
"Het is ironisch dat, net zoals een quarterback kwetsbaar is voor een interceptie, de NFL-app kwetsbaar is voor een man-in-the-middle-aanval die de gegevens van gebruikers op het risico van onderschepping door hackers brengt, " zei Eldar Tuvey, de CEO van Wandera.
Niet-versleutelde oproepen Leak User Info
De app vereist dat de gebruiker zich veilig aanmeldt met NFL.com-inloggegevens, maar vervolgens lekt de gebruikersnaam en het wachtwoord in een secundaire niet-gecodeerde API-aanroep, vonden onderzoekers van Wandera. De gebruikersnaam en het e-mailadres worden ook opgeslagen in een niet-gecodeerde cookie onmiddellijk na het inloggen en bij volgende oproepen naar nfl.com. De aanvaller kan de inloggegevens gebruiken om toegang te krijgen tot het volledige profiel van de gebruiker op nfl.com. De profielpagina is niet-gecodeerd, wat betekent dat aanvallers man-in-the-middle-aanvallen kunnen gebruiken om gegevens van de pagina te onderscheppen.
"Het risico is bijzonder groot op dit moment, wanneer gebruikers waarschijnlijk toegang zullen krijgen tot de app voorafgaand aan de grootste wedstrijd van het seizoen tussen de New England Patriots en Seattle Seahawks, " zei het bedrijf in zijn advies.
Het is op dit moment onduidelijk of opgeslagen creditcardinformatie zichtbaar zou zijn voor de aanvaller, omdat het beveiligingsteam tijdens deze analyse niet heeft geprobeerd om NFL-merchandise van de site te kopen. Het is ook niet duidelijk of dezelfde fout bestaat in andere NFL-apps, zoals NFL Now en NFL Fantasy Football.
Haal je Super Bowl-oplossing voorlopig via de website, niet via de NFL-app. Breng jezelf niet in gevaar.
Risico's voor gebruikers met de app
Hergebruik van wachtwoorden is nog steeds een groot probleem, dus gebruikers met dezelfde combinatie van e-mail en wachtwoord voor andere accounts kunnen deze accounts aangetast vinden, waarschuwde Wandera. Profielinformatie zoals geboortedatum, volledige naam, e-mailadres en postadres, beroep, tv-provider, geslacht en telefoonnummer kunnen worden gebruikt voor identiteitsdiefstal, phishing en social engineering.
"Geboortedatum, naam, adres en telefoonnummer zijn de exacte bouwstenen die nodig zijn om een succesvolle identiteitsdiefstal van de NFL-fans te initiëren, " zei Tuvey.
Als u hetzelfde wachtwoord gebruikt op andere sites, met name gevoelige sites zoals bankieren en e-mail, moet u deze onmiddellijk wijzigen.
Criminelen hebben zich in het verleden gericht op professionele sportsites en apps. NFL-fans werden misleid door nep-Facebook-pagina's om op kwaadaardige links te klikken naar sites die Zeus-malware bedienen in 2013. Kwaadwillende programma's op MLB.com dienden nep-antivirus voor nietsvermoedende bezoekers in 2012. Een nep-mobiele app die zich voordeed als de MADDEN NFL 12-game geroote apparaten, onderschepte sms-berichten en verbonden apparaten met een botnet, vonden onderzoekers van McAfee in 2012.
Cyberaanvallers richten zich ook graag op populaire evenementen en nieuwswaardige items om malware te verspreiden en phishing-aanvallen uit te voeren. Deze aanvallen maken gebruik van mensen die op zoek zijn naar de nieuwste informatie en updates. OpenDNS heeft een website geïdentificeerd die BBC News probeert na te bootsen en valse informatie geeft over de schietpartijen bij Charlie Hebdo eerder deze maand. Er waren verschillende spam- en malwarecampagnes gericht op de Olympische Spelen in Londen en Sochi, evenals eerdere Super Bowl-spellen. Websites van de Miami Dolphins hebben vóór de Super Bowl in 2007 gedurende minstens een week malware aangeboden.
