Un projet de piratage éthique par une équipe d'experts de la vie privée a révélé une faille de sécurité grave dans l'une des applications de communication les plus populaires de l'Arabie Saoudite.
- base de données utilisateur est dalil non sécurisé et facilement accessible en ligne;
- Plus que 5 millions d'utilisateurs sont touchés DALIL;
- Dalil continue de laisser les données utilisateur non garanties en dépit d'être alerté au problème par des experts de la vie privée.
A été téléchargé dalil plus 5 million de fois. 96% de ses utilisateurs sont d'Arabie Saoudite.
Beaucoup comme TrueCaller, Dalil permet aux utilisateurs d'identifier et de bloquer les numéros inconnus et indésirables. En théorie, il est un bon outil pour aider les utilisateurs à esquiver Démarcheurs, harceleurs, harceleurs, et bloquer tout autre contact indésirable.
Cependant, une enquête menée par le célèbre pirate whitehat et militant Noam R. et l'équipe de vpnMentor a mis en évidence une violation grave de sécurité dans la base de données Dalil. informations privées de leurs utilisateurs est accessible à tous via une base de données non sécurisée.
La violation soulève des questions éthiques, politique, intimité, et les questions de cybersécurité, et les détails de l'enquête suivent. Cependant, si vous êtes un utilisateur actuel de Dalil, vous devez être conscient que la compagnie n'a pas répondu ou pris aucune mesure depuis la notification de la violation et la base de données de l'utilisateur reste non sécurisé.
Quelles sont les questions de sécurité?
Autorisations
Comme toutes les applications, Dalil demande aux utilisateurs de convenir d'un ensemble d'autorisations de l'application avant de pouvoir terminer l'installation. Bien que certaines autorisations sont standard, d'autres sont plus rares, comme la lecture et la modification des fichiers stockés sur votre appareil, ou accéder à votre position exacte en utilisant le GPS.
La combinaison des autorisations de l'application et la base de données non garantie crée un sérieux problème de sécurité pour les utilisateurs.
en relation: Violation de la NASA de données potentiellement Expose renseignements personnels des employés
questions de base de données
Cependant les autorisations de DALIL suspects peuvent sembler, la question de la sécurité de base est à la base de données utilise pour stocker Dalil ses données d'utilisateur.
L'enquête a révélé que vpnMentor stocke les données Dalil utilisateur dans un non sécurisé, base de données MongoDB sans contrôle. La base de données est accessible sans authentification, ce qui signifie des pirates ou des entreprises sans scrupules qui font du commerce et de monétiser les données personnelles ont un accès sans mot de passe à cette information.
Les données sur les Dalil qui est en ligne actuellement librement accessible comprend:
- Nom et prénom;
- Numéro de téléphone;
- compte de courriel personnel;
- Le genre;
- Profession;
- Adresse IP;
- Modèle d'appareil, jeton, numéro de série, et le système d'exploitation;
- IMEI (numéro d'identification spécifique du dispositif);
- carte SIM et fournisseur de réseau;
- informations GPS et l'emplacement du réseau.
Cette quantité d'information non garanti est troublant. Le rapport compilé un profil précis d'un utilisateur Dalil pour démontrer comment il est facile de le faire. Afin de protéger l'identité de l'utilisateur, nous avons expurgée des informations sensibles, mais l'équipe de la vie privée ont été en mesure de localiser facilement les profils sociaux de l'utilisateur. En plus de cela, l'équipe pourrait obtenir une estimation précise de l'emplacement approximatif de l'utilisateur et l'adresse résidentielle en utilisant uniquement les informations de la base de données et une simple recherche Google.
Pourquoi est-ce important
Adware
Le contenu de la base de données, tels que la profession, emplacement, et le sexe peut être utilisé pour créer des annonces ciblées. Dans les mains des annonceurs tiers, autorités locales, ou d'organisations illégales, Cela soulève de graves problèmes de confidentialité et de sécurité. Si les récentes révélations sur entreprises d'extraction de données telles que Cambridge Analytica nous ont appris rien d'autre, il est que les utilisateurs doivent se méfier des entreprises ayant accès à autant de données.
Malware
Information sur le modèle périphérique et les systèmes d'exploitation permet de placer des programmes malveillants très spécifiques. Malware est un logiciel malveillant conçu pour perturber, accès, ou prendre le contrôle d'un dispositif ou réseau, généralement pour voler des données personnelles sensibles ou de l'argent. logiciels malveillants ciblés construit sur le contenu de cette base de données pourrait mettre de Dalil 5 millions d'utilisateurs en Arabie Saoudite, Egypte, Émirats arabes unis, et d'autres endroits à risque de perte financière.
Les questions politiques et de sécurité
Il est plus sombre utilisation potentielle de données non sécurisée de Dalil. L'Arabie Saoudite a quelques-unes des lois les plus strictes de censure et de surveillance des environnements dans le monde. Les autorités locales sont autorisées à surveiller et censurer les communications privées a fait plus couramment utilisés des applications de communication comme Viber et Facebook Messenger.
En utilisant le contenu de la base de données Dalil, Les autorités saoudiennes peuvent identifier et d'écouter leurs appels et messages.
La combinaison de l'environnement juridique en Arabie Saoudite, les autorisations de l'application, et les disponibles dans la base de données ouverte données d'identification signifient que les autorités saoudiennes pourraient théoriquement utiliser comme Dalil conduit pour suivre ou localiser les utilisateurs.
Cela devrait concerner tout le monde, mais il a un intérêt particulier pour les journalistes et les blogueurs, ou toute autre personne qui pourrait être soupçonné d'avoir critiqué le gouvernement saoudien.
A propos de l'enquête
Le rapport a été compilé par vpnMentor et Noam R. selon les principes directeurs d'une enquête sur le piratage éthique.
La sonde utilise le balayage de ports pour examiner les blocs IP et des systèmes de test pour les faiblesses. Chaque trou examiné les données étant fuite. L'équipe a étudié en installant simplement l'application et entrer leurs propres données. En faisant cela, ils pourraient confirmer que leurs données de la fuite et établir l'identité de la base de données.
L'équipe a contacté avant Dalil le rapport a été publié. Au moment de la rédaction, ils ont pas reçu de réponse, et la base de données est toujours accessible.
Les utilisateurs de Dalil sont invités à désinstaller l'application. Tous les utilisateurs sont encouragés à réfléchir sur les autorisations accordées à des applications tierces.
A propos de l'auteur: Lauren Smith
Lauren est un chercheur expérimenté de sécurité (7 ans) avec une histoire démontrée de travailler dans l'industrie de la sécurité informatique et réseau. Son travail de jour travaille pour une organisation de droits de l'homme et elle écrit pour vpnMentor depuis 2018 la nuit et le week-end sur son temps libre.
