Un progetto di hacking etico un team di esperti di privacy ha rivelato una grave falla di sicurezza in una delle applicazioni di comunicazione più popolari di Arabia Saudita.
- database utente Dalil non è protetto e facilmente accessibile on-line;
- Più di 5 milioni di utenti sono interessati Dalil;
- Dalil continua a lasciare i dati degli utenti non garantiti nonostante sia avvertito il problema da parte di esperti sulla privacy.
Dalil è stato scaricato più di 5 milione di volte. 96% dei suoi utenti sono da Arabia Saudita.
Un po 'come TrueCaller, Dalil aiuta gli utenti a identificare e numeri di blocco sconosciuto e indesiderate. In teoria, è un buon strumento per aiutare gli utenti a schivare i chiamanti freddi, stalker, molestatori, e bloccare qualsiasi altro contatto indesiderato.
Tuttavia, un'inchiesta condotta dal noto hacker, whitehat e attivista Noam R. e il team di vpnMentor ha messo in evidenza una grave violazione della sicurezza nel database di Dalil. informazioni private dei loro utenti è accessibile a chiunque attraverso un database non protetto.
La violazione solleva etica, politico, vita privata, e problemi di sicurezza informatica, e dettagli delle indagini seguono. Tuttavia, se sei un utente corrente di Dalil, si deve essere consapevoli che la società non ha risposto o intrapreso alcuna azione da quando è stato comunicato della frattura e il database degli utenti rimane non protetto.
Quali sono i problemi di sicurezza?
Permessi
Come tutte le applicazioni, Dalil chiede agli utenti di accettare una serie di autorizzazioni app prima di poter completare l'installazione. Mentre alcune autorizzazioni sono di serie, altri sono più insoliti, come leggere e modificare i file memorizzati sul dispositivo, o l'accesso la posizione esatta utilizzando il GPS.
La combinazione dei permessi app e il database non protetto crea un problema di sicurezza serio per gli utenti.
Correlata: Violazione della NASA dati espone potenzialmente informazioni personali dei dipendenti
problemi di database
Tuttavia sospetti i permessi di Dalil possono sembrare, il problema di sicurezza di base si trova con il database Dalil utilizza per memorizzare i propri dati utente.
L'indagine ha rivelato che vpnMentor Dalil memorizza i dati degli utenti in un non garantito, banca dati MongoDB unmonitored. Il database è accessibile senza autenticazione, il che significa che gli hacker o aziende senza scrupoli che il commercio e monetizzare i dati personali hanno accesso senza password per le informazioni.
I dati su Dalil che è attualmente liberamente accessibile online include:
- Nome e cognome;
- Numero di telefono;
- account di posta elettronica personali;
- Genere;
- Professione;
- Indirizzo IP;
- Modello del dispositivo, gettone, numero di serie, e il sistema operativo;
- IMEI (numero di identificazione specifico del dispositivo);
- carta SIM e sulla provider di rete;
- le informazioni GPS e percorso di rete.
Questa quantità di informazioni non garantito è preoccupante. Il rapporto compilato un profilo accurato di un utente Dalil per dimostrare quanto sia facile farlo. Per proteggere l'identità dell'utente, abbiamo redatto le informazioni sensibili, ma la squadra di privacy sono stati in grado di individuare i profili sociali degli utenti con facilità. Per di più, la squadra potrebbe ottenere una stima accurata della posizione approssimativa dell'utente e indirizzo di residenza utilizzando solo le informazioni dalla banca dati e una semplice ricerca su Google.
Perchè importa
Adware
I contenuti della banca dati, come ad esempio la professione, posizione, e il sesso può essere utilizzato per creare annunci mirati. Nelle mani dei pubblicitari di terze parti, le autorità locali, o organizzazioni illegali, questo pone seri problemi di privacy e di sicurezza. Se le recenti rivelazioni sul aziende di data mining come Cambridge Analytica ci hanno insegnato niente altro, è che gli utenti dovrebbero essere cauti di aziende che hanno accesso a più di tanto i dati.
Malware
Informazioni su modelli e sistemi operativi dei dispositivi consente altamente specifico posizionamento di malware. Malware è un software maligno progettato per interrompere, accesso, o prendere il controllo di un dispositivo o rete, di solito per rubare dati personali o denaro. il malware mirato costruita sui contenuti di questo database potrebbe mettere Dalil di 5 milioni di utenti in Arabia Saudita, Egitto, Emirati Arabi Uniti, e in altri luoghi a rischio di perdite finanziarie.
le questioni politiche e di sicurezza
Non v'è più scuro potenziale uso di database non protetto di Dalil. L'Arabia Saudita ha alcune delle più severe leggi sulla censura e gli ambienti di sorveglianza in tutto il mondo. Le autorità locali hanno il permesso di monitorare e censurare le comunicazioni private fatto più applicazioni di comunicazione di uso comune come Viber e Facebook Messenger.
Usando il contenuto della banca dati di Dalil, Le autorità saudite possono identificare e ascoltare le loro chiamate e messaggi.
La combinazione del contesto giuridico in Arabia Saudita, le autorizzazioni delle app, e degli estremi identificativi disponibili nel database aperto significa che le autorità saudite potrebbe teoricamente utilizzare Dalil come un condotto per monitorare o localizzare gli utenti.
Questo dovrebbe riguardare tutti, ma ha particolare rilevanza per i giornalisti e blogger, o chiunque altro che potrebbe essere sospettato di aver criticato il governo saudita.
Sulle indagini
Il rapporto è stato compilato da vpnMentor e Noam R. sotto i principi guida di un'indagine hacking etico.
La sonda utilizza la scansione delle porte per esaminare blocchi IP e sistemi di test per le debolezze. Ogni foro esaminati per dati fatte trapelare. Il team indagato semplicemente installando l'applicazione e inserendo i propri dati. Così facendo, hanno potuto confermare che i loro dati è trapelata e verificare l'identità del database.
Il team ha contattato Dalil prima che la relazione è stata pubblicata. Al momento della scrittura, non hanno ricevuto una risposta, e il database è ancora accessibile.
Gli utenti di Dalil sono incoraggiati a disinstallare l'applicazione. Tutti gli utenti sono incoraggiati a riflettere attentamente sulle autorizzazioni concesse per applicazioni di terze parti.
Circa l'autore: Lauren Smith
Lauren è un ricercatore di sicurezza con esperienza (7 anni) con una storia dimostrata di lavorare nel settore della sicurezza informatica e della rete. Il suo lavoro di giorno lavora per un'organizzazione per i diritti umani e scrive per vpnMentor dal 2018 di notte e nei fine settimana sul suo tempo libero.