Vidéo: [Android + Php + Mysql] Creation d'un Espace Membre - Partie 1 (Novembre 2024)
Les bookmakers de Vegas regardent peut-être les Seahawks de Seattle et les Patriots de la Nouvelle-Angleterre de près ce dimanche du Super Bowl, mais les pirates black hat pourraient être plus intéressés par la collecte de données personnelles à partir des appareils Android des fans, a annoncé aujourd'hui une firme de sécurité mobile.
Les attaquants pourraient lancer des attaques de type "man-in-the-middle" pour exploiter une vulnérabilité sérieuse de la populaire application NFL Mobile, qui expose les données personnelles sensibles des utilisateurs stockées sur des appareils Android, a déclaré Wandera dans un avertissement. Un porte-parole de la société a déclaré à SecurityWatch que le problème n’était toujours pas résolu.
"Il est ironique que, tout comme un quarterback vulnérable à une interception, l'application NFL soit exposée à une attaque de type" man-in-the-middle "qui expose les données des utilisateurs au risque d'interception par des pirates informatiques", a déclaré Eldar Tuvey, PDG de Wandera.
Les appels non cryptés perdent des informations sur l'utilisateur
L'application nécessite que l'utilisateur se connecte en toute sécurité avec les informations d'identification NFL.com, mais le nom d'utilisateur et le mot de passe sont ensuite divulgués lors d'un second appel d'API non chiffré, ont découvert des chercheurs de Wandera. Le nom d'utilisateur et l'adresse e-mail sont également stockés dans un cookie non crypté immédiatement après la connexion et lors des appels ultérieurs vers nfl.com. L'attaquant peut utiliser les informations d'identification pour accéder au profil complet de l'utilisateur sur nfl.com. La page de profil n'est pas chiffrée, ce qui signifie que les attaquants peuvent utiliser des attaques de type man-in-the-middle pour intercepter les données de la page.
"Le risque est particulièrement élevé en ce moment, lorsque les utilisateurs accéderont probablement à l'application avant le plus grand match de la saison entre les New England Patriots et les Seahawks de Seattle", a déclaré la société dans son avis.
À ce stade, il est difficile de déterminer si les informations de carte de crédit sauvegardées seraient visibles par l'attaquant, l'équipe de sécurité n'ayant pas tenté d'acheter de marchandise de la marque NFL sur le site au cours de cette analyse. On ignore également si le même défaut existe dans d'autres applications de la NFL, telles que NFL Now et NFL Fantasy Football.
Pour le moment, obtenez votre correctif du Super Bowl sur le site Web, pas sur l'application NFL. Ne te mets pas en danger.
Risques pour les utilisateurs avec l'application
La réutilisation des mots de passe reste un problème majeur. Par conséquent, les utilisateurs disposant de la même combinaison adresse électronique / mot de passe pour d'autres comptes peuvent trouver ces comptes compromis, a averti Wandera. Les informations de profil telles que la date de naissance, le nom complet, les adresses électronique et postale, la profession, le fournisseur de télévision, le sexe et le numéro de téléphone peuvent être utilisées pour le vol d'identité, le phishing et l'ingénierie sociale.
"La date de naissance, le nom, l'adresse et le numéro de téléphone sont les éléments constitutifs indispensables au succès du vol d'identité des supporters de la NFL", a déclaré Tuvey.
Si vous utilisez le même mot de passe sur d'autres sites, en particulier des sites sensibles tels que les comptes bancaires et les adresses de messagerie, modifiez-les immédiatement.
Les criminels ont ciblé des sites et des applications de sport professionnel par le passé. En 2013, de fausses pages Facebook ont incité les fans de la NFL à cliquer sur des liens malveillants menant à des sites proposant des programmes malveillants Zeus. Des attaques malveillantes sur MLB.com ont servi de faux antivirus à des visiteurs sans méfiance en 2012. Une fausse application mobile se faisant passer pour MADDEN NFL 12, Les chercheurs de McAfee ont découvert en 2012 des messages SMS interceptés et des périphériques connectés à un réseau de robots.
Les cyber-attaquants aiment également cibler les événements populaires et les articles de presse pour propager des logiciels malveillants et exécuter des attaques de phishing. Ces attaques profitent aux personnes recherchant les dernières informations et mises à jour. OpenDNS a identifié un site Web essayant d'imiter BBC News et fournissant de fausses informations sur les tirs perpétrés contre Charlie Hebdo plus tôt ce mois-ci. Plusieurs campagnes de spam et de programmes malveillants visant les Jeux olympiques de Londres et de Sochi, ainsi que les précédents matchs du Super Bowl. Les sites Web appartenant aux Dolphins de Miami ont diffusé des programmes malveillants au moins une semaine avant le Super Bowl en 2007.
