Ein Ethical Hacking Projekt ein Team von Datenschutzexperten hat eine ernsthafte Sicherheitslücke in einem von Saudi-Arabien beliebtesten Kommunikations Apps enthüllt.
- Dalil Benutzerdatenbank ist ungesichert und leicht zugängliche Online;
- Mehr als 5 Millionen Dalil Benutzer sind betroffen;
- Dalil weiterhin ungesicherte Anwenderdaten zu verlassen, obwohl sie von Datenschutzexperten auf das Problem aufmerksam gemacht werden.
Dalil wurde mehr heruntergeladen als 5 Millionen mal. 96% die Nutzer sind aus Saudi-Arabien.
Eine Menge, wie Truecaller, Dalil hilft dem Anwender zu identifizieren und zu blockieren unbekannten und unerwünschten Nummern. In der Theorie, es ist ein gutes Werkzeug Benutzer kalt Anrufer ausweichen helfen, Stalker, harassers, und Block jede ungewollte Berührung.
Jedoch, eine Untersuchung der Leitung von bekannten whitehat Hacker und Aktivist Noam R. und das Team von vpnMentor hat eine schwere Sicherheitslücke in Dalil Datenbank hervorgehoben. Ihre privaten Benutzerinformationen sind für jedermann zugänglich über eine ungesicherte Datenbank.
Die Verletzung wirft ethische, politisch, Privatsphäre, und Cyber-Fragen, und Einzelheiten der Untersuchung folgen. Jedoch, wenn Sie ein aktueller Benutzer von Dalil, Sie sollten sich bewusst sein, dass das Unternehmen, da jede Aktion nicht reagiert oder genommen hat der Verletzung informiert zu werden und die Benutzerdatenbank bleibt ungesichert.
Was sind die Sicherheitsprobleme?
Berechtigungen
Wie alle Anwendungen, Dalil bittet die Nutzer auf eine Reihe von App-Berechtigungen zu vereinbaren, bevor sie die Installation abgeschlossen werden kann. Während einige Berechtigungen sind Standard, andere sind eher ungewöhnlich, wie das Lesen und Ändern der gespeicherten Dateien auf dem Gerät, oder der Zugriff auf Ihre genaue Position mittels GPS.
Die Kombination der App-Berechtigungen und die ungesicherten Datenbank erstellt ein ernstes Sicherheitsproblem für die Nutzer.
verbunden: NASA Daten Breach Exposes Potenziell Personal Information der Mitarbeiter
PHP und Datenbanken
Allerdings verdächtige Dalil Berechtigungen erscheinen mag, das Kern Sicherheitsproblem liegt bei der Datenbank Dalil verwendet, um seine Benutzerdaten zu speichern,.
Die vpnMentor Untersuchung ergab, dass Dalil Benutzerdaten in einem ungesicherten speichert, unmonitored MongoDB Datenbank. Die Datenbank ist zugänglich ohne Authentifizierung, was bedeutet, Hacker oder skrupellose Unternehmen, die personenbezogene Daten haben passwortfreien Zugang zu diesen Informationen handeln und monetarisieren.
Die Daten über Dalil, die aktuell online frei zugänglich ist, schließt:
- Vor-und Nachname;
- Telefonnummer;
- Persönliches E-Mail-Konto;
- Geschlecht;
- Beruf;
- IP-Adresse;
- Gerätemodell, Zeichen, Ordnungsnummer, und das Betriebssystem;
- IMEI (die spezifische Identifikation des Gerätenummer);
- Sim-Karte und Netzbetreiber Informationen;
- GPS und Netzwerk-Standortinformationen.
Diese Menge an ungesicherten Informationen ist beunruhigend. Der Bericht ein genaues Profil eines Dalil Benutzer zusammengestellt zu zeigen, wie einfach es ist, dies zu tun. Um die Identität des Benutzers zu schützen, wir haben sensible Informationen unkenntlich gemacht, aber die Privatsphäre Team konnte die Benutzer-Profile in sozialen Netzwerken leicht lokalisieren. Hinzu kommt, dass, das Team konnte eine genaue Schätzung des Benutzers ungefährer Lage und Wohnadresse mit nur die Informationen aus der Datenbank und eine einfache Google-Suche erhalten.
Warum es wichtig ist
Adware
Der Inhalt der Datenbank, wie Beruf, Lage, und Geschlecht kann verwendet werden, zielgerichtete Anzeigen erstellen. In den Händen von Drittanbietern Werben, Kommunen, oder illegale Organisationen, Dies wirft ernsthafte Privatsphäre und Sicherheitsfragen. Wenn jüngste Enthüllungen über Data-Mining-Unternehmen wie Cambridge Analytica haben uns gelehrt, nichts anderes, es ist, dass die Nutzer vorsichtig von Unternehmen Zugang sein sollte, dass viele Daten mit.
Malware
Informationen über Gerätemodell und Betriebssysteme ermöglichen eine hochspezifische Malware Platzierung. Malware ist schädliche Software entwickelt, stören, Zugriff, oder die Kontrolle über ein Gerät oder Netzwerk, in der Regel auf sensible persönliche Daten oder Geld zu stehlen. Gezielte Malware auf den Inhalt dieser Datenbank aufgebaut könnte setzen Dalil des 5 Millionen Nutzer in Saudi-Arabien, Ägypten, UAE, und an anderen Standorten in Gefahr finanzieller Verluste.
Politische und Sicherheitsfragen
Es ist dunkler mögliche Verwendung von Dalil ungesicherten Datenbank. Saudi-Arabien hat einige der strengsten Zensurgesetze und Überwachungs Umgebungen der Welt. Die lokalen Behörden sind erlaubt zu überwachen und zensieren private Kommunikation Anwendungen häufig verwendeten Kommunikations gemacht über wie Viber und Facebook Messenger.
Mit dem Inhalt der Dalil Datenbank, Saudi-arabischen Behörden identifizieren können, und hören auf ihre Anrufe und Nachrichten.
Die Kombination aus den gesetzlichen Rahmenbedingungen in Saudi-Arabien, die App-Berechtigungen, und die Identifizierung von verfügbaren Angaben in der geöffneten Datenbank bedeuten, dass saudi-arabische Behörden theoretisch Dalil als Kanal nutzen könnten, um die Benutzer zu verfolgen oder lokalisieren.
Dies sollte jeder betreffen, aber es hat besondere Bedeutung für Journalisten und Blogger, oder sonst jemand, die Kritik an die saudische Regierung verdächtigt werden könnte.
Über die Untersuchung
Der Bericht wurde von vpnMentor und Noam R zusammengestellt. unter den Leitsätzen einer Ethical Hacking Untersuchung.
Die Sonde verwendet Port-Scanning-IP-Blöcke und Testsysteme für die Schwächen zu untersuchen. Jedes Loch für Daten geprüft durchgesickert. Das Team untersucht, indem Sie einfach die App zu installieren und ihre eigenen Daten eingeben. Dadurch, sie konnten bestätigen, dass ihre Daten durchgesickert war und die Identität der Datenbank herstellen.
Das Team kontaktiert Dalil, bevor der Bericht veröffentlicht wurde. Zum Zeitpunkt des Schreibens, sie haben keine Antwort erhalten, und die Datenbank ist nach wie vor zugänglich.
Benutzer von Dalil werden ermutigt, die App deinstallieren. Alle Anwender sollten sorgfältig über Berechtigungen für Anwendungen von Drittanbietern gewährt denken.
Über den Autor: Lauren Smith
Lauren ist ein erfahrener Sicherheitsexperte (7 Jahre) mit einer nachgewiesenen Geschichte in dem Computer- und Netzwerksicherheitsgewerbe. Ihr Job arbeitet für eine Menschenrechtsorganisation und schreibt sie für vpnMentor seit 2018 nachts und am Wochenende auf ihrer Freizeit.
