Video: How to Stream ANY NFL Game LIVE For Free 2020 (iPhone, Android, Fire TV, Roku, Xbox) (Tháng mười một 2024)
Các nhà cái ở Vegas có thể đang theo dõi Seattle Seahawks và New England Patriots vào Chủ nhật Super Bowl này, nhưng tin tặc mũ đen có thể quan tâm hơn đến việc thu thập dữ liệu cá nhân từ các thiết bị Android của người hâm mộ, một công ty bảo mật di động cảnh báo hôm nay.
Những kẻ tấn công sẽ có thể khởi động các cuộc tấn công trung gian để khai thác lỗ hổng nghiêm trọng trong ứng dụng NFL Mobile nổi tiếng, phơi bày dữ liệu cá nhân nhạy cảm của người dùng được lưu trữ trên thiết bị Android, Wandera cho biết trong một lời khuyên. Một phát ngôn viên của công ty nói với SecurityWatch rằng vấn đề vẫn chưa được giải quyết.
Eldar Tuvey, Giám đốc điều hành của Cây đũa phép.
Cuộc gọi không được mã hóa Thông tin người dùng bị rò rỉ
Các ứng dụng yêu cầu người dùng đăng nhập an toàn bằng thông tin đăng nhập NFL.com, nhưng sau đó nó sẽ rò rỉ tên người dùng và mật khẩu trong một cuộc gọi API không được mã hóa thứ cấp, các nhà nghiên cứu của Wandera cho biết. Tên người dùng và địa chỉ email cũng được lưu trữ trong một cookie không được mã hóa ngay sau khi đăng nhập và trong các cuộc gọi tiếp theo tới nfl.com. Kẻ tấn công có thể sử dụng thông tin đăng nhập để truy cập hồ sơ đầy đủ của người dùng trên nfl.com. Trang hồ sơ không được mã hóa, điều đó có nghĩa là những kẻ tấn công có thể sử dụng các cuộc tấn công trung gian để chặn dữ liệu từ trang.
"Rủi ro đặc biệt cao vào thời điểm này, khi người dùng có khả năng truy cập ứng dụng trước trận đấu lớn nhất của mùa giải giữa New England Patriots và Seattle Seahawks, " công ty cho biết.
Hiện tại vẫn chưa rõ thông tin thẻ tín dụng đã lưu có thể hiển thị cho kẻ tấn công hay không, vì nhóm bảo mật đã không cố gắng mua bất kỳ hàng hóa mang nhãn hiệu NFL nào từ trang web trong quá trình phân tích này. Cũng không rõ lỗ hổng tương tự có tồn tại trong các ứng dụng NFL khác, chẳng hạn như NFL Now và NFL Fantasy Football.
Hiện tại, hãy sửa lỗi Super Bowl của bạn thông qua trang web, không phải ứng dụng NFL. Đừng đặt mình vào nguy cơ.
Rủi ro cho người dùng với ứng dụng
Việc sử dụng lại mật khẩu vẫn là một vấn đề lớn, vì vậy người dùng có cùng kết hợp email / mật khẩu cho các tài khoản khác có thể thấy những tài khoản đó bị xâm phạm, Wandera cảnh báo. Thông tin hồ sơ như ngày sinh, tên đầy đủ, địa chỉ email và bưu chính, nghề nghiệp, nhà cung cấp TV, giới tính và số điện thoại có thể được sử dụng để đánh cắp danh tính, lừa đảo và kỹ thuật xã hội.
"Ngày sinh, tên, địa chỉ và số điện thoại là các khối xây dựng chính xác cần thiết để bắt đầu hành vi trộm cắp danh tính thành công từ người hâm mộ NFL, " Tuvey nói.
Nếu bạn đang sử dụng cùng một mật khẩu trên các trang web khác, đặc biệt là các trang web nhạy cảm như ngân hàng và email, hãy thay đổi chúng ngay lập tức.
Tội phạm đã nhắm mục tiêu các trang web và ứng dụng thể thao chuyên nghiệp trong quá khứ. Người hâm mộ NFL đã bị lừa bởi các trang Facebook giả mạo khi nhấp vào các liên kết độc hại đến các trang web phục vụ phần mềm độc hại Zeus vào năm 2013. Các phần mềm độc hại trên MLB.com đã phục vụ phần mềm chống vi-rút giả mạo cho khách truy cập không nghi ngờ vào năm 2012. Một ứng dụng di động giả mạo giả mạo là thiết bị bắt nguồn từ trò chơi MADDEN NFL 12, Các nhà nghiên cứu của McAfee tìm thấy vào năm 2012 đã chặn các tin nhắn SMS và các thiết bị được kết nối với botnet.
Những kẻ tấn công mạng cũng muốn nhắm mục tiêu các sự kiện phổ biến và các mặt hàng đáng tin cậy để phát tán phần mềm độc hại và thực hiện các cuộc tấn công lừa đảo. Những cuộc tấn công này lợi dụng những người tìm kiếm thông tin và cập nhật mới nhất. OpenDNS đã xác định một trang web cố gắng bắt chước BBC News và cung cấp thông tin sai lệch về vụ xả súng tại Charlie Hebdo hồi đầu tháng này. Có một số chiến dịch spam và phần mềm độc hại nhắm vào Thế vận hội ở London và Sochi cũng như các trò chơi Super Bowl trước đây. Các trang web thuộc về Cá heo Miami đã phục vụ phần mềm độc hại trong ít nhất một tuần trước Super Bowl năm 2007.