Video: КАК ЭКСПОРТИРОВАТЬ ИГРУ В APK И ПОДПИСАТЬ ЕЁ | Construct 2 | Adapter, Apk Signer (Oktober 2024)
Bandar judi Vegas mungkin mengamati Seattle Seahawks dan New England Patriots dari dekat Super Bowl pada hari Minggu ini, tetapi peretas topi hitam mungkin lebih tertarik untuk mengumpulkan data pribadi dari perangkat Android penggemar, sebuah perusahaan keamanan seluler memperingatkan hari ini.
Penyerang akan dapat meluncurkan serangan man-in-the-middle untuk mengeksploitasi kerentanan serius dalam aplikasi NFL Mobile yang populer yang memaparkan data pribadi sensitif pengguna yang disimpan di perangkat Android, Wandera mengatakan dalam sebuah penasehat. Seorang juru bicara perusahaan mengatakan kepada SecurityWatch masalah tetap tidak diperbaiki.
"Sangat ironis bahwa seperti quarterback yang rentan terhadap intersepsi, aplikasi NFL rentan terhadap serangan man-in-the-middle yang menempatkan data pengguna pada risiko intersepsi oleh peretas, " kata Eldar Tuvey, CEO dari Wandera.
Panggilan Tidak Terenkripsi Kebocoran Info Pengguna
Aplikasi ini mengharuskan pengguna untuk masuk secara aman dengan kredensial NFL.com, tetapi kemudian bocor nama pengguna dan kata sandi dalam panggilan API sekunder yang tidak dienkripsi, peneliti Wandera menemukan. Nama pengguna dan alamat email juga disimpan dalam cookie yang tidak terenkripsi segera setelah login dan pada panggilan berikutnya ke nfl.com. Penyerang dapat menggunakan kredensial untuk mengakses profil lengkap pengguna di nfl.com. Halaman profil tidak terenkripsi, yang berarti penyerang dapat menggunakan serangan man-in-the-middle untuk mencegat data dari halaman.
"Risikonya sangat tinggi saat ini, ketika pengguna cenderung mengakses aplikasi menjelang pertandingan terbesar musim ini antara New England Patriots dan Seattle Seahawks, " kata perusahaan itu dalam penasehatnya.
Tidak jelas pada titik ini apakah informasi kartu kredit yang disimpan akan terlihat oleh penyerang, karena tim keamanan tidak berusaha untuk membeli barang dagangan bermerek NFL dari situs selama analisis ini. Tidak jelas juga apakah cacat yang sama ada di aplikasi NFL lain, seperti NFL Now dan NFL Fantasy Football.
Untuk saat ini, dapatkan perbaikan Super Bowl Anda melalui situs web, bukan aplikasi NFL. Jangan menempatkan diri Anda dalam risiko.
Risiko untuk Pengguna Dengan Aplikasi
Penggunaan kembali kata sandi masih merupakan masalah besar, sehingga pengguna yang memiliki kombinasi email / kata sandi yang sama untuk akun lain dapat menemukan akun-akun itu dikompromikan, Wandera memperingatkan. Informasi profil seperti tanggal lahir, nama lengkap, alamat email dan pos, pekerjaan, penyedia TV, jenis kelamin, dan nomor telepon dapat digunakan untuk pencurian identitas, phishing, dan rekayasa sosial.
"Tanggal lahir, nama, alamat, dan nomor telepon adalah blok pembangun yang dibutuhkan untuk memulai pencurian identitas yang berhasil dari para penggemar NFL, " kata Tuvey.
Jika Anda menggunakan kata sandi yang sama di situs lain, terutama situs sensitif seperti perbankan dan email, ubah segera.
Penjahat telah menargetkan situs dan aplikasi olahraga profesional di masa lalu. Penggemar NFL ditipu oleh halaman Facebook palsu dengan mengklik tautan jahat ke situs yang menyajikan malware Zeus pada 2013. Malicious s di MLB.com menyajikan antivirus palsu kepada pengunjung yang tidak curiga pada 2012. Sebuah aplikasi seluler palsu yang menyamar sebagai perangkat yang di-rooting permainan MADDEN NFL 12, pesan SMS yang dicegat, dan perangkat yang terhubung ke botnet, peneliti McAfee ditemukan pada 2012.
Penyerang cyber juga suka menargetkan acara populer dan item yang layak diberitakan untuk menyebarkan malware dan melakukan serangan phishing. Serangan-serangan ini memanfaatkan orang-orang yang mencari informasi dan pembaruan terkini. OpenDNS mengidentifikasi sebuah situs web yang mencoba meniru Berita BBC dan menyajikan informasi palsu tentang penembakan di Charlie Hebdo awal bulan ini. Ada beberapa kampanye spam dan malware yang menargetkan Olimpiade di London dan Sochi serta game-game Super Bowl sebelumnya. Situs web milik Miami Dolphins menyajikan malware selama seminggu sebelum Super Bowl pada 2007.
