Een ethisch hacken project door een team van privacy experts heeft een ernstig veiligheidslek onthuld in een van Saoedi-Arabië de meest populaire communicatie-apps.
- Dalil gebruikersdatabase is onbeveiligd en gemakkelijk toegankelijk online;
- Ruim 5 miljoen Dalil gebruikers zijn getroffen;
- Dalil blijft gebruikersgegevens onbeveiligde vertrekken ondanks wordt gewaarschuwd voor het probleem van privacy-experts.
Dalil is meer dan gedownload 5 miljoen keer. 96% van de gebruikers zijn afkomstig uit Saoedi-Arabië.
Een partij zoals TrueCaller, Dalil helpt gebruikers te identificeren en te blokkeren onbekende en ongewenste aantallen. In theorie, het is een goed hulpmiddel om gebruikers te helpen ontwijken koude bellers, stalkers, aan intimidatie, en blokkeren een ander ongewenst contact.
Echter, een onderzoek onder leiding van de bekende whitehat hacker en activist Noam R. en het team van vpnMentor is een ernstige inbreuk op de beveiliging in Dalil database gemarkeerd. persoonlijke gegevens van hun gebruikers is toegankelijk voor iedereen via een onbeveiligde databank.
De breuk verhoogt ethische, politiek, privacy, en cyberveiligheid kwesties, en de details van het onderzoek volgen. Echter, als u een huidige gebruiker van dalil, u dient zich ervan bewust dat het bedrijf niet heeft gereageerd of na de kennisgeving van de inbreuk genomen iedere handeling en de eigen database blijft onbeveiligd.
Wat zijn de beveiligingsproblemen?
machtigingen
Net als alle andere apps, Dalil vraagt gebruikers akkoord te gaan met een set van app-rechten voordat zij de installatie te kunnen voltooien. Terwijl sommige toestemmingen zijn standaard, anderen zijn meer ongebruikelijke, zoals het lezen en wijzigen van de opgeslagen bestanden op uw apparaat, of de toegang tot uw exacte locatie met behulp van GPS.
De combinatie van de app-rechten en het ongedekte databank creëert een serieus veiligheidsprobleem voor de gebruikers.
Verwant: NASA data-inbreuk Blootstelt Potentieel Persoonlijke informatie van werknemers
Database kwesties
Echter verdachte Dalil's permissies lijkt, de kern beveiligingsprobleem ligt bij de database Dalil gebruikt om de gebruiker gegevens op te slaan.
De vpnMentor onderzoek is gebleken dat Dalil slaat gebruikersgegevens in een onbeveiligde, unmonitored MongoDB databank. De database is toegankelijk zonder authenticatie, wat betekent dat hackers of malafide bedrijven die de handel en geld te verdienen met persoonlijke gegevens wachtwoord-vrije toegang tot die informatie.
De gegevens over Dalil die momenteel vrij toegankelijk online omvat:
- Voor-en achternaam;
- Telefoonnummer;
- Persoonlijke e-mailaccount;
- Geslacht;
- Beroep;
- IP-adres;
- Apparaat model, blijk, serienummer, en het besturingssysteem;
- IMEI (het apparaat specifiek identificatienummer);
- Sim-kaart en het netwerk provider informatie;
- GPS en het netwerk locatie-informatie.
Dit bedrag van onbeveiligde informatie is verontrustend. In het verslag wordt een nauwkeurig profiel van een Dalil gebruiker opgesteld om aan te tonen hoe gemakkelijk het is om dat te doen. Om de identiteit van de gebruiker te beschermen, we hebben gevoelige informatie geredigeerd, maar de privacy team in staat waren om de sociale profielen van de gebruiker gemakkelijk te lokaliseren. Daarbovenop, het team kan een nauwkeurige schatting van de geschatte locatie van de gebruiker en woonadres met alleen de informatie uit de database en een eenvoudige Google-zoekopdracht te krijgen.
Waarom het uitmaakt
Adware
De inhoud van de databank, zoals beroep, plaats, en geslacht kan worden gebruikt om gerichte advertenties te maken. In de handen van derden adverteerders, Lokale autoriteiten, of illegale organisaties, Dit leidt tot ernstige privacy en beveiliging. Als de recente onthullingen over data mining bedrijven zoals Cambridge Analytica hebben ons geleerd niets anders, het is dat de gebruikers op hun hoede voor bedrijven die toegang hebben tot dat er veel gegevens moeten worden.
Malware
Informatie over het apparaat model en besturingssystemen zorgt voor een zeer specifieke malware plaatsing. Malware is schadelijke software die is ontworpen om te verstoren, toegang, of de controle van een apparaat of netwerk, meestal om gevoelige persoonlijke gegevens of geld te stelen. Gerichte malware gebouwd op de inhoud van deze databank zou dalil we 5 miljoen gebruikers in Saudi-Arabië, Egypte, Verenigde Arabische Emiraten, en andere locaties met een risico op financieel verlies.
Politieke en veiligheidskwesties
Er is donkerder potentieel gebruik van ongedekte databank dalil's. Saoedi-Arabië heeft een aantal van de strengste censuur wetten en surveillance-omgevingen in de wereld. Lokale overheden mogen controleren en censureren privé-communicatie gemaakt via veelgebruikte communicatie apps zoals Viber en Facebook Messenger.
Met behulp van de inhoud van dalil database, Saoedi-Arabische autoriteiten kunnen identificeren en te luisteren in op hun gesprekken en berichten.
De combinatie van de juridische omgeving in Saoedi-Arabië, de app-rechten, en de identificerende gegevens beschikbaar zijn in de open database betekenen dat Saoedi-Arabische autoriteiten theoretisch Dalil zou kunnen gebruiken als een kanaal om gebruikers te houden of te lokaliseren.
Dit moet iedereen betreffen, maar het is bijzonder relevant voor journalisten en bloggers, of iemand anders die zou kunnen worden verdacht van kritiek op de Saoedische overheid.
Over het onderzoek
Het rapport werd opgesteld door vpnMentor en Noam R. onder de leidende principes van een ethisch hacken onderzoek.
De sonde maakt gebruik van port scanning om IP-blokken en testsystemen op zwakke punten te onderzoeken. Elk gat onderzocht op gegevens die worden gelekt. Het team onderzocht door simpelweg het installeren van de app en het invoeren van hun eigen gegevens. Hierdoor, zij konden bevestigen dat hun gegevens werden gelekt en de identiteit van de gegevensbank.
Het team contact Dalil voordat het rapport werd gepubliceerd. Op het moment van schrijven, ze hebben geen antwoord ontvangen, en de database is nog steeds toegankelijk.
Gebruikers van Dalil worden aangemoedigd om de app te verwijderen. Alle gebruikers worden aangemoedigd om goed na te denken over rechten verleend aan toepassingen van derden.
Over de auteur: Lauren Smith
Lauren is een ervaren security-onderzoeker (7 jaar) met een bewezen geschiedenis van het werken in de computer en netwerk security-industrie. Haar baan werkt voor een mensenrechtenorganisatie en zij schrijft voor vpnMentor sinds 2018 's nachts en in het weekend op haar vrije tijd.
