Um projeto de hacking ético por uma equipe de especialistas em privacidade revelou uma grave falha de segurança em um dos aplicativos de comunicação populares a maioria da Arábia Saudita.
- Dalil banco de dados do usuário é inseguro e facilmente acessível on-line;
- Mais que 5 milhões de usuários Dalil são afetados;
- Dalil continua a deixar os dados do usuário não seguras apesar de ter sido alertado para o problema, especialistas em privacidade.
Dalil já foi baixado mais de 5 milhão de vezes. 96% de seus usuários são de Arábia Saudita.
Um pouco como TrueCaller, Dalil ajuda os usuários a identificar e números desconhecidos bloco e indesejados. Em teoria, é uma boa ferramenta para ajudar os usuários a esquivar chamadores frios, perseguidores, assediadores, e bloquear qualquer outro contato indesejado.
Contudo, uma investigação liderada pelo conhecido whitehat hackers e ativista Noam R. ea equipe da vpnMentor destacou uma falha de segurança grave no banco de dados do Dalil. A informação confidencial dos seus usuários é acessível a qualquer pessoa através de um banco de dados não segura.
A brecha aumenta ética, político, privacidade, e questões de segurança cibernética, e os detalhes do acompanhamento investigação. Contudo, se você é um usuário atual do Dalil, você deve estar ciente de que a empresa não respondeu ou tomado qualquer ação desde que foi notificado da violação e o banco de dados do usuário permanece inseguro.
Quais são as questões de segurança?
permissões
Como todos os aplicativos, Dalil pede aos usuários para concordar com um conjunto de permissões de aplicativos antes que eles possam concluir a instalação. Enquanto algumas permissões são padrão, outros são mais incomum, como ler e modificar os arquivos armazenados no dispositivo, ou acessar sua localização exata usando GPS.
A combinação das permissões de aplicativos e banco de dados não seguro cria um sério problema de segurança para os usuários.
relacionado: Violação NASA dados potencialmente expõe informações pessoais de funcionários
problemas de banco de dados
Por mais suspeitas que as permissões de Dalil possam parecer, o principal problema de segurança está no banco de dados que Dalil usa para armazenar os dados do usuário.
A investigação do vpnMentor revelou que Dalil armazena dados do usuário em um ambiente não seguro, banco de dados MongoDB não monitorado. O banco de dados está acessível sem autenticação, o que significa que hackers ou empresas sem escrúpulos que comercializam e monetizam dados pessoais têm acesso a essas informações sem senha.
Os dados sobre Dalil que atualmente podem ser acessados gratuitamente on-line incluem:
- Primeiro e último nome;
- Número de telefone;
- Conta de e-mail pessoal;
- Gênero;
- Profissão;
- endereço de IP;
- Modelo do dispositivo, símbolo, número de série, e sistema operacional;
- IMEI (o número de identificação específico do dispositivo);
- Informações do cartão SIM e do provedor de rede;
- GPS e informações de localização de rede.
Essa quantidade de informações não seguras é preocupante. O relatório compilou um perfil preciso de um usuário Dalil para demonstrar como é fácil fazer isso. Para proteger a identidade do usuário, nós editamos informações confidenciais, mas a equipe de privacidade conseguiu localizar os perfis sociais do usuário facilmente. Em cima disso, a equipe poderia obter uma estimativa precisa da localização aproximada do usuário e endereço residencial usando apenas as informações do banco de dados e uma simples pesquisa no Google.
Por que isso importa
adware
O conteúdo do banco de dados, como profissão, localização, e o gênero podem ser usados para criar anúncios direcionados. Nas mãos de anunciantes terceirizados, autoridades locais, ou organizações ilegais, isso levanta sérios problemas de privacidade e segurança. Se revelações recentes sobre empresas de mineração de dados como Cambridge Analytica não nos ensinou mais nada, é que os usuários devem ser cautelosos com as empresas que têm acesso a tantos dados.
Malware
As informações sobre o modelo do dispositivo e sistemas operacionais permitem a colocação de malware altamente específica. Malware é um software malicioso projetado para interromper, Acesso, ou assumir o controle de um dispositivo ou rede, geralmente para roubar dados pessoais confidenciais ou dinheiro. Malware direcionado construído com base no conteúdo deste banco de dados pode colocar Dalil's 5 milhões de usuários na Arábia Saudita, Egito, UAE, e outros locais com risco de perda financeira.
Questões políticas e de segurança
Existe um potencial mais sombrio de uso do banco de dados inseguro de Dalil. A Arábia Saudita tem algumas das leis de censura e ambientes de vigilância mais rígidos do mundo. As autoridades locais têm permissão para monitorar e censurar a comunicação privada feita em aplicativos de comunicação comumente usados como Viber e Facebook Messenger.
Usando o conteúdo do banco de dados de Dalil, Autoridades da Arábia Saudita podem identificar e ouvir suas ligações e mensagens.
A combinação do ambiente jurídico na Arábia Saudita, as permissões do aplicativo, e os detalhes de identificação disponíveis no banco de dados aberto significam que as autoridades da Arábia Saudita poderiam teoricamente usar Dalil como um canal para rastrear ou localizar usuários.
Isso deve preocupar a todos, mas é particularmente relevante para jornalistas e blogueiros, ou qualquer outra pessoa que possa ser suspeita de criticar o governo saudita.
Sobre a Investigação
O relatório foi compilado por vpnMentor e Noam R. sob os princípios orientadores de uma investigação ética de hackers.
O probe usa a varredura de portas para examinar os blocos de IP e testar os sistemas em busca de pontos fracos. Cada furo examinado em busca de dados vazados. A equipe investigou simplesmente instalando o aplicativo e inserindo seus próprios dados. Ao fazê-lo, eles puderam confirmar que seus dados foram vazados e estabelecer a identidade do banco de dados.
A equipe entrou em contato com Dalil antes da publicação do relatório. No momento da escrita, eles não receberam uma resposta, e o banco de dados ainda está acessível.
Os usuários de Dalil são incentivados a desinstalar o aplicativo. Todos os usuários são encorajados a pensar cuidadosamente sobre as permissões concedidas a aplicativos de terceiros.
Sobre o autor: Lauren Smith
Lauren é uma pesquisadora de segurança experiente (7 anos) com um histórico comprovado de trabalho na indústria de segurança de rede e computadores. Seu trabalho diário é trabalhar para uma organização de direitos humanos e ela escreve para vpnMentor desde 2018 nas noites e fins de semana em seu tempo livre.