Casa > convidado Blogging > Flaw in Popular Communication App Exposes 5+ milhões de usuários
CYBER NEWS

Uma falha na Populares Comunicação App Expõe 5+ milhões de usuários


Um projeto de hacking ético por uma equipe de especialistas em privacidade revelou uma grave falha de segurança em um dos aplicativos de comunicação populares a maioria da Arábia Saudita.

  • Dalil banco de dados do usuário é inseguro e facilmente acessível on-line;
  • Mais que 5 milhões de usuários Dalil são afetados;
  • Dalil continua a deixar os dados do usuário não seguras apesar de ter sido alertado para o problema, especialistas em privacidade.

Dalil já foi baixado mais de 5 milhão de vezes. 96% de seus usuários são de Arábia Saudita.

Um pouco como TrueCaller, Dalil ajuda os usuários a identificar e números desconhecidos bloco e indesejados. Em teoria, é uma boa ferramenta para ajudar os usuários a esquivar chamadores frios, perseguidores, assediadores, e bloquear qualquer outro contato indesejado.

Contudo, uma investigação liderada pelo conhecido whitehat hackers e ativista Noam R. ea equipe da vpnMentor destacou uma falha de segurança grave no banco de dados do Dalil. A informação confidencial dos seus usuários é acessível a qualquer pessoa através de um banco de dados não segura.

A brecha aumenta ética, político, privacidade, e questões de segurança cibernética, e os detalhes do acompanhamento investigação. Contudo, se você é um usuário atual do Dalil, você deve estar ciente de que a empresa não respondeu ou tomado qualquer ação desde que foi notificado da violação e o banco de dados do usuário permanece inseguro.

Quais são as questões de segurança?

permissões

Como todos os aplicativos, Dalil pede aos usuários para concordar com um conjunto de permissões de aplicativos antes que eles possam concluir a instalação. Enquanto algumas permissões são padrão, outros são mais incomum, como ler e modificar os arquivos armazenados no dispositivo, ou acessar sua localização exata usando GPS.

A combinação das permissões de aplicativos e banco de dados não seguro cria um sério problema de segurança para os usuários.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/nasa-data-breach-employees/”] Violação NASA dados potencialmente expõe informações pessoais de funcionários

problemas de banco de dados

However suspicious Dalil’s permissions may seem, the core security issue lies with the database Dalil uses to store its user data.

The vpnMentor investigation revealed that Dalil stores user data in an unsecured, unmonitored MongoDB database. The database is accessible without authentication, which means hackers or unscrupulous companies that trade and monetize personal data have password-free access to that information.

The data about Dalil that is currently freely accessible online includes:

  • Primeiro e último nome;
  • Número de telefone;
  • Personal email account;
  • Gênero;
  • Profession
  • endereço de IP;
  • Device model, símbolo, número de série, e sistema operacional;
  • IMEI (the device’s specific identification number);
  • Sim card and network provider information;
  • GPS and network location information.

This amount of unsecured information is troubling. The report compiled an accurate profile of one Dalil user to demonstrate how easy it is to do so. To protect the identity of the user, we have redacted sensitive information, but the privacy team were able to locate the user’s social profiles easily. Em cima disso, the team could get an accurate estimate of the user’s approximate location and residential address using just the information from the database and a simple Google search.

Why It Matters

adware

The contents of the database, such as profession, localização, and gender can be used to create targeted ads. In the hands of third-party advertisers, local authorities, or illegal organizations, this raises serious privacy and security issues. If recent revelations about [wplinkpreview url =”https://sensorstechforum.com/twitter-access-researcher-cambridge-aalytica/”] data mining firms like Cambridge Analytica have taught us nothing else, it’s that users should be wary of companies having access to that much data.

Malware

Information about device model and operating systems allows for highly specific malware placement. Malware is malicious software designed to disrupt, Acesso, or take control of a device or network, usually to steal sensitive personal data or money. Targeted malware built on the contents of this database could put Dalil’s 5 million users in Saudi Arabia, Egito, UAE, and other locations at risk of financial loss.

Political and security issues

There is darker potential use of Dalil’s unsecured database. Saudi Arabia has some of the strictest censorship laws and surveillance environments in the world. Local authorities are permitted to monitor and censor private communication made over commonly used communications apps like Viber and Facebook Messenger.

Using the contents of Dalil’s database, Saudi Arabian authorities can identify and listen in on their calls and messages.

The combination of the legal environment in Saudi Arabia, the app permissions, and the identifying details available in the open database mean that Saudi Arabian authorities could theoretically use Dalil as a conduit to track or locate users.

This should concern everyone, but it has particular relevance for journalists and bloggers, or anyone else who might be suspected of criticizing the Saudi government.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/security-breach-hospital-supermarket-refrigeration-systems/”] Violação da segurança major Encontrado em Hospital e Supermercado Sistemas de Refrigeração

About the Investigation

The report was compiled by vpnMentor and Noam R. under the guiding principles of an ethical hacking investigation.
The probe uses port scanning to examine IP blocks and test systems for weaknesses. Each hole examined for data being leaked. The team investigated by simply installing the app and entering their own data. Ao fazê-lo, they could confirm that their data was leaked and establish the identity of the database.

The team contacted Dalil before the report was published. At the time of writing, they have not received a response, and the database is still accessible.

Users of Dalil are encouraged to uninstall the app. All users are encouraged to think carefully about permissions granted to third-party applications.

Sobre o autor: Lauren Smith

Lauren is an experienced security researcher (7 anos) with a demonstrated history of working in the computer and network security industry. Her day job is working for a human rights organization and she writes for vpnMentor since 2018 at nights and weekends on her spare time.

Autores SensorsTechForum Clientes

Autores SensorsTechForum Clientes

De tempos em tempos, SensorsTechForum apresenta artigos de convidados por líderes e entusiastas da segurança cibernética. As opiniões expressas nestas mensagens de hóspedes, Contudo, são de inteira responsabilidade do autor contribuindo, e podem não refletir as de SensorsTechForum.

mais Posts

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...