による倫理的なハッキングプロジェクト プライバシー専門家のチーム サウジアラビアで最も人気のあるコミュニケーションアプリの1つに深刻なセキュリティ上の欠陥があることを明らかにしました.
- Dalilユーザーデータベースはセキュリティで保護されておらず、オンラインで簡単にアクセスできます;
- より多い 5 100万人のDalilユーザーが影響を受けています;
- Dalilは、プライバシーの専門家から問題の警告を受けているにもかかわらず、ユーザーデータを保護しないままにし続けています.
Dalilは以上ダウンロードされています 5 百万回. 96% そのユーザーの内、サウジアラビア出身です.
Truecallerによく似ています, Dalilは、ユーザーが不明な番号や不要な番号を識別してブロックするのに役立ちます. 理論的には, これは、ユーザーがコールドコーラーをかわすのに役立つ優れたツールです, ストーカー, 嫌がらせ者, その他の不要な連絡先をブロックします.
でも, 有名なホワイトハットハッカーで活動家のNoamRが率いる調査. そしてvpnMentorのチームは、Dalilのデータベースにおける重大なセキュリティ違反を強調しました. ユーザーの個人情報には、セキュリティで保護されていないデータベースを介して誰でもアクセスできます.
違反は倫理を高める, 政治的, プライバシー, とサイバーセキュリティの問題, 調査の詳細は次のとおりです. でも, Dalilの現在のユーザーの場合, 違反の通知を受けてから、会社は応答もアクションも実行しておらず、ユーザーデータベースは保護されていないことに注意してください。.
セキュリティの問題は何ですか?
権限
すべてのアプリのように, Dalilは、インストールを完了する前に、一連のアプリの権限に同意するようユーザーに求めます. 一部の権限は標準ですが, 他の人はもっと珍しい, デバイスに保存されているファイルを読み取って変更するようなものです, またはGPSを使用して正確な位置にアクセスする.
アプリの権限とセキュリティで保護されていないデータベースの組み合わせは、ユーザーに深刻なセキュリティ問題を引き起こします.
関連している: NASAのデータ侵害により、従業員の個人情報が漏洩する可能性がある
データベースの問題
ただし、疑わしいダリルの許可は思われるかもしれません, コアセキュリティの問題は、Dalilがユーザーデータを保存するために使用するデータベースにあります.
vpnMentorの調査により、Dalilはユーザーデータをセキュリティで保護されていない場所に保存していることが明らかになりました, 監視されていないMongoDBデータベース. データベースは認証なしでアクセス可能, つまり、個人データを取引して現金化するハッカーや悪意のある企業は、パスワードなしでその情報にアクセスできます。.
現在オンラインで自由にアクセスできるDalilに関するデータには次のものが含まれます:
- 名前と苗字;
- 電話番号;
- 個人のメールアカウント;
- 性別;
- 職業;
- IPアドレス;
- デバイスモデル, トークン, シリアルナンバー, およびオペレーティングシステム;
- IMEI (デバイスの特定の識別番号);
- SIMカードとネットワークプロバイダーの情報;
- GPSとネットワークの位置情報.
この量の保護されていない情報は厄介です. レポートは、1人のDalilユーザーの正確なプロファイルをまとめて、それがいかに簡単であるかを示しています。. ユーザーの身元を保護するため, 機密情報を編集しました, しかし、プライバシーチームはユーザーのソーシャルプロファイルを簡単に見つけることができました. その上に, チームは、データベースからの情報と簡単なGoogle検索だけを使用して、ユーザーのおおよその場所と住所の正確な見積もりを取得できます。.
重要な理由
アドウェア
データベースの内容, 職業など, 位置, 性別を使用してターゲット広告を作成できます. サードパーティの広告主の手に, 地方自治体, または違法な組織, これは深刻なプライバシーとセキュリティの問題を引き起こします. 最近の啓示が CambridgeAnalyticaのようなデータマイニング会社 私たちに他に何も教えていない, それは、ユーザーがその量のデータにアクセスできる企業に注意する必要があるということです.
マルウェア
デバイスモデルとオペレーティングシステムに関する情報により、非常に具体的なマルウェアの配置が可能になります. マルウェアは、混乱させるように設計された悪意のあるソフトウェアです, アクセス, またはデバイスまたはネットワークを制御します, 通常、機密性の高い個人データやお金を盗むため. このデータベースのコンテンツに基づいて構築された標的型マルウェアは、Dalilの 5 サウジアラビアの100万人のユーザー, エジプト, アラブ首長国連邦, および経済的損失のリスクがあるその他の場所.
政治的および安全保障上の問題
Dalilのセキュリティで保護されていないデータベースの潜在的な使用はさらに暗くなります. サウジアラビアには、世界で最も厳しい検閲法と監視環境がいくつかあります. 地方自治体は、ViberやFacebookMessengerなどの一般的に使用される通信アプリを介して行われるプライベート通信を監視および検閲することが許可されています.
ダリルのデータベースの内容を使用する, サウジアラビア当局は、彼らの電話やメッセージを識別して聞くことができます.
サウジアラビアの法的環境の組み合わせ, アプリの権限, オープンデータベースで利用可能な識別の詳細は、サウジアラビア当局が理論的にはユーザーを追跡または特定するための導管としてダリルを使用できることを意味します.
これはすべての人に関係するはずです, しかし、それはジャーナリストやブロガーにとって特に関連性があります, またはサウジアラビア政府を批判している疑いのある人.
調査について
レポートはvpnMentorとNoamRによって編集されました. 倫理的ハッキング調査の指針の下で.
プローブはポートスキャンを使用してIPブロックを調べ、システムの弱点をテストします. データが漏洩していないか調べた各穴. チームは、アプリをインストールして独自のデータを入力するだけで調査しました. そうすることによって, 彼らは自分たちのデータが漏洩したことを確認し、データベースのアイデンティティを確立することができました.
レポートが公開される前に、チームはダリルに連絡しました. 執筆時点, 彼らは応答を受け取っていません, そしてデータベースはまだアクセス可能です.
Dalilのユーザーは、アプリをアンインストールすることをお勧めします. すべてのユーザーは、サードパーティアプリケーションに付与されたアクセス許可について慎重に検討することをお勧めします.
著者について: ローレン・スミス
ローレンは経験豊富なセキュリティ研究者です (7 年) コンピュータおよびネットワークセキュリティ業界での実績があります。. 彼女の日中の仕事は人権団体で働いており、彼女はそれ以来vpnMentorのために書いています 2018 彼女の暇な時間に夜と週末に.