Et etisk hacking projekt ved et team af eksperter privatlivets fred har afsløret en alvorlig sikkerhedsbrist i en af Saudi Arabiens mest populære kommunikations apps.
- Dalil brugerdatabase er usikrede og let tilgængelig online;
- Mere end 5 million Dalil brugere er påvirket;
- Dalil fortsætter med at forlade brugerdata usikrede trods bliver gjort opmærksom på problemet af eksperter privatlivets fred.
Dalil er blevet hentet mere end 5 million gange. 96% af dets brugere er fra Saudi-Arabien.
En masse som Truecaller, Dalil hjælper brugerne med at identificere og blokere ukendte og uønskede numre. I teorien, det er et godt værktøj til at hjælpe brugerne undvige kolde opkaldere, stalkere, harassers, og blokere enhver anden uønsket kontakt.
Men, en undersøgelse ledet af kendte whitehat hacker og aktivist Noam R. og hold i vpnMentor har fremhævet en alvorlig sikkerhedsbrist i Dalil database. Deres brugernes private oplysninger er tilgængelige for alle via en ikke-sikret database.
Bruddet rejser etiske, politisk, privatliv, og cybersikkerhed spørgsmål, og detaljer i undersøgelsen følger. Men, hvis du er en aktuel bruger af Dalil, du skal være opmærksom på, at selskabet ikke har reageret eller foretaget sig noget siden bliver underrettet om bruddet og brugeren databasen forbliver usikrede.
Hvad er Sikkerhedsproblemer?
Tilladelser
Ligesom alle apps, Dalil beder brugerne til at acceptere en række app tilladelser, før de kan fuldføre installationen. Mens nogle tilladelser er standard, andre er mere usædvanlige, som at læse og ændre de gemte filer på enheden, eller få adgang til din nøjagtige placering ved hjælp af GPS.
Kombinationen af de app tilladelser og den usikrede databasen skaber et alvorligt sikkerhedsproblem for brugere.
Relaterede: NASA bruddet Potentielt udsætter personlige oplysninger af ansatte
Database spørgsmål
Men mistænkelige Dalil tilladelser kan synes, kernen sikkerhedsproblem ligger med databasen Dalil bruger til at gemme sin bruger-data.
Den vpnMentor Undersøgelsen viste, at Dalil gemmer brugerdata i en ikke-sikret, ukontrolleret MongoDB database. Databasen er tilgængelig uden godkendelse, hvilket betyder hackere eller skrupelløse virksomheder, der handler og tjene penge persondata har password-fri adgang til disse oplysninger.
Dataene om Dalil, der i øjeblikket frit tilgængelig online omfatter:
- For-og efternavn;
- Telefonnummer;
- Personlig e-mail-konto;
- Køn;
- Erhverv;
- IP-adresse;
- model Device, polet, serienummer, og operativsystem;
- IMEI (enhedens særligt identifikationsnummer);
- SIM-kort og netværksudbyder oplysninger;
- GPS og netværk positionsoplysninger.
Denne mængde usikrede oplysninger er bekymrende. Rapporten udarbejdet en nøjagtig profil af en Dalil bruger for at demonstrere, hvor nemt det er at gøre det. For at beskytte brugerens identitet, vi har redacted følsomme oplysninger, men privatliv holdet var i stand til at lokalisere brugerens sociale profiler nemt. Oven i købet, holdet kunne få et præcist skøn over brugerens omtrentlige placering og boligområder adresse ved hjælp af kun de oplysninger fra databasen og en simpel Google-søgning.
Hvorfor det Matters
Adware
Indholdet af databasen, såsom erhverv, placering, og køn kan bruges til at skabe målrettede annoncer. I hænderne på tredjeparts annoncører, lokale myndigheder, eller ulovlige organisationer, dette giver anledning til alvorlige privatlivets fred og sikkerhedsspørgsmål. Hvis de seneste afsløringer om data mining firmaer som Cambridge Analytica har lært os intet andet, det er, at brugerne skal være på vagt over for virksomheder, der har adgang til så meget data.
Malware
Oplysninger om enhedens model og styresystemer giver mulighed for meget specifik malware placering. Malware er skadelig software designet til at forstyrre, adgang, eller tage kontrol over en enhed eller et netværk, normalt at stjæle følsomme personoplysninger eller penge. Målrettet malware bygget på indholdet af denne database kunne sætte Dalil s 5 million brugere i Saudi-Arabien, Egypten, UAE, og andre steder med risiko for økonomisk tab.
Politiske og sikkerhedsspørgsmål
Der er mørkere potentielle anvendelse af Dalil s usikrede database. Saudi-Arabien har nogle af de strengeste censur love og overvågning miljøer i verden. De lokale myndigheder er tilladt at overvåge og censurere privat kommunikation foretaget over almindeligt anvendte kommunikation apps som Viber og Facebook Messenger.
Ved hjælp af indholdet af Dalil database, Saudiarabiske myndigheder kan identificere og lytte med på deres opkald og beskeder.
Kombinationen af de juridiske rammer i Saudi-Arabien, apptilladelserne, og de identificerende oplysninger til rådighed i det åbne database betyde, at saudiarabiske myndigheder teoretisk kunne bruge Dalil som en kanal til at spore eller finde brugere.
Dette bør gælde alle, men det har særlig relevans for journalister og bloggere, eller andre, der kunne mistænkes for at kritisere den saudiske regering.
Om Undersøgelse
Rapporten blev udarbejdet af vpnMentor og Noam R. under de ledende principper i en etisk hacking undersøgelse.
Sonden bruger port scanning for at undersøge IP-blokke og testsystemer til svagheder. Hvert hul undersøgt for data, der lækket. Holdet undersøgt af blot at installere den app og indtaste deres egne data. Ved at gøre det, de kunne bekræfte, at deres data blev lækket og fastslå identiteten af databasen.
Holdet kontaktede Dalil inden rapporten blev offentliggjort. På tidspunktet for skrivning, de ikke har modtaget et svar, og databasen er stadig tilgængelig.
Brugere af Dalil opfordres til at afinstallere app. Alle brugere opfordres til at tænke grundigt over tilladelser til tredjepartsprogrammer.
Om forfatteren: Lauren Smith
Lauren er en erfaren sikkerhed forsker (7 år) med en demonstreret tradition for at arbejde i computeren og netsikkerhed industrien. Hendes job er at arbejde for en organisation menneske rettigheder, og hun skriver for vpnMentor siden 2018 på nætter og weekender på hendes fritid.
