Un proyecto de hacking ético por un equipo de expertos en privacidad ha puesto de manifiesto un grave fallo de seguridad en una de las aplicaciones de comunicación más populares de Arabia Saudita.
- base de datos de usuario dalil no es segura y de fácil acceso en línea;
- Más que 5 dalil millón de usuarios se ven afectados;
- Dalil sigue dejando a los datos del usuario sin garantía a pesar de ser alertado al problema por los expertos en privacidad.
Dalil ha sido descargado más de 5 millones de veces. 96% de sus usuarios son de Arabia Saudita.
Muy parecido a TrueCaller, Dalil ayuda a los usuarios a identificar y números de bloque desconocida y no deseados. En teoria, que es una buena herramienta para ayudar a los usuarios esquivar los vendedores en frío, acosadores, acosadores, y bloquear cualquier otro contacto no deseado.
Sin embargo, una investigación dirigida por el conocido hacker de whitehat y activista Noam R. y el equipo de vpnMentor ha puesto de manifiesto un fallo de seguridad grave en la base de datos de Dalil. la información privada de sus usuarios es accesible a cualquier persona a través de una base de datos sin garantía.
El incumplimiento plantea ética, político, intimidad, y las cuestiones de seguridad cibernética, y detalles de la investigación siguen. Sin embargo, si usted es un usuario actual de Dalil, debe tener en cuenta que la empresa no ha respondido o tomado ninguna medida desde la notificación de la infracción y la base de datos de usuario permanece sin garantía.
¿Cuáles son los problemas de seguridad?
permisos
Al igual que todas las aplicaciones, Dalil pide a los usuarios de acuerdo a un conjunto de permisos de la aplicación antes de que puedan completar la instalación. Mientras que algunos permisos son estándar, otros son más inusual, como leer y modificar los archivos almacenados en el dispositivo, o acceder a la localización exacta a través de GPS.
La combinación de los permisos de la aplicación y la base de datos desprotegida crea un grave problema de seguridad para los usuarios.
Relacionado: El incumplimiento de la NASA de datos puede exponer la información personal de los empleados
problemas de bases de datos
Sin embargo sospechosas permisos de dalil pueden parecer, el problema de seguridad con el núcleo se encuentra la base de datos Dalil utiliza para almacenar sus datos de usuario.
La investigación reveló que vpnMentor Dalil almacena los datos del usuario en una no segura, la base de datos MongoDB sin control. La base de datos es accesible sin necesidad de autenticación, lo que significa que los hackers o empresas sin escrúpulos que el comercio y obtener beneficios económicos de los datos personales tienen acceso sin contraseña para que la información.
Los datos sobre Dalil que se encuentra actualmente libre acceso en línea incluye:
- Nombre y apellido;
- Número de teléfono;
- cuenta de correo electrónico personal;
- Género;
- Profesión;
- Dirección IP;
- modelo del dispositivo, simbólico, número de serie, y el sistema operativo;
- IMEI (número de identificación específico del dispositivo);
- tarjeta SIM y la información del proveedor de la red;
- GPS y localización de la red de información.
Esta cantidad de información sin garantía es preocupante. El informe elaborado un perfil exacto de un usuario Dalil para demostrar lo fácil que es hacerlo. Para proteger la identidad del usuario, hemos redactado la información sensible, pero el equipo de privacidad fueron capaces de localizar a los perfiles sociales de los usuarios con facilidad. Además de eso, el equipo podría obtener una estimación precisa de la ubicación aproximada del usuario y la dirección de residencia utilizando sólo la información de la base de datos y una simple búsqueda en Google.
Por qué es importante
Adware
El contenido de la base de datos, como profesión, ubicación, y el género se puede utilizar para crear anuncios orientados. En las manos de los anunciantes de terceros, autoridades locales, u organizaciones ilegales, esto plantea problemas de privacidad y seguridad graves. Si recientes revelaciones sobre empresas de minería de datos como Cambridge Analytica nos han enseñado otra cosa, es que los usuarios deben tener cuidado con las compañías que tienen acceso a esa cantidad de datos.
Malware
Información sobre el modelo y sistemas operativos de dispositivos permite la colocación de malware altamente específica. El malware es un software malicioso diseñado para interrumpir, acceso, o tomar el control de un dispositivo o red, por lo general para robar datos personales sensibles o dinero. malware dirigido construida sobre el contenido de esta base de datos podría poner Dalil de 5 millones de usuarios en Arabia Saudí, Egipto, Emiratos Árabes Unidos, y otros lugares con riesgo de pérdida financiera.
cuestiones políticas y de seguridad
Hay un uso potencial más oscuro de la base de datos desprotegida de Dalil. Arabia Saudita tiene algunas de las más estrictas leyes de censura y entornos de vigilancia en el mundo. Las autoridades locales están autorizados a controlar y censurar la comunicación privada hizo más aplicaciones de comunicaciones utilizados comúnmente como Viber y Facebook Messenger.
El uso de los contenidos de la base de datos de Dalil, autoridades saudíes pueden identificar y escuchar en sus llamadas y mensajes.
La combinación del entorno legal en Arabia Saudita, los permisos de aplicaciones, y los datos identificativos disponibles en la base de datos abierta significan que las autoridades de Arabia Saudita podría utilizar teóricamente Dalil como un conducto para rastrear o localizar a los usuarios.
Esto debe preocupar a todos, pero tiene especial relevancia para los periodistas y bloggers, o cualquier otra persona que pudiera ser sospechoso de criticar al gobierno de Arabia Saudita.
Acerca de la Investigación
El informe fue compilado por vpnMentor y Noam R. bajo los principios rectores de una investigación hacking ético.
La sonda utiliza el escaneo de puertos para examinar bloques de IP y sistemas de prueba de las debilidades. Cada agujero se examinaron para los datos que se filtró. El equipo investigado por la simple instalación de la aplicación y entrar sus propios datos. Al hacerlo, que podrían confirmar que sus datos se filtró y establecer la identidad de la base de datos.
El equipo de contacto Dalil antes de la publicación del informe. En el momento de escribir, que no han recibido una respuesta, y la base de datos sigue siendo accesible.
Se anima a los usuarios de Dalil para desinstalar la aplicación. Todos los usuarios se les anima a pensar cuidadosamente acerca de los permisos otorgados a las aplicaciones de terceros.
Sobre el Autor: Lauren Smith
Lauren es un investigador de seguridad con experiencia (7 año) con un historial demostrado de trabajar en la industria de la seguridad informática y de redes. Su trabajo diario está trabajando para una organización de derechos humanos y escribe para vpnMentor desde 2018 por las noches y los fines de semana en su tiempo libre.
