Vídeo: 🏈 HOW TO WATCH NFL FOOTBALL ON AMAZON FIRESTICK OR ANDROID BOX FREE (Outubro 2024)
Os apostadores de Las Vegas podem estar assistindo o Seattle Seahawks e o New England Patriots de perto neste domingo do Super Bowl, mas os hackers de chapéu preto podem estar mais interessados em coletar dados pessoais dos dispositivos Android dos fãs, alertou hoje uma empresa de segurança móvel.
Os atacantes poderiam lançar ataques man-in-the-middle para explorar uma séria vulnerabilidade no popular aplicativo NFL Mobile, que expõe dados pessoais sensíveis dos usuários armazenados em dispositivos Android, disse Wandera em um comunicado. Um porta-voz da empresa disse à SecurityWatch que o problema permanece sem solução.
"É irônico que, assim como um quarterback seja vulnerável a uma interceptação, o aplicativo da NFL é vulnerável a um ataque intermediário que coloca os dados dos usuários em risco de interceptação por hackers", disse Eldar Tuvey, CEO da Wandera.
Chamadas não criptografadas vazam informações do usuário
O aplicativo exige que o usuário entre com segurança com as credenciais do NFL.com, mas depois vaza o nome de usuário e a senha em uma chamada secundária da API não criptografada, descobriram os pesquisadores da Wandera. O nome de usuário e o endereço de email também são armazenados em um cookie não criptografado imediatamente após o login e nas chamadas subseqüentes para nfl.com. O invasor pode usar as credenciais para acessar o perfil completo do usuário no site nfl.com. A página de perfil não é criptografada, o que significa que os invasores podem usar ataques intermediários para interceptar dados da página.
"O risco é particularmente alto neste momento, quando os usuários provavelmente acessarão o aplicativo antes do maior jogo da temporada entre o New England Patriots e o Seattle Seahawks", disse a empresa em seu comunicado.
Não está claro neste momento se as informações salvas do cartão de crédito seriam visíveis para o invasor, pois a equipe de segurança não tentou comprar nenhuma mercadoria da marca NFL no site durante essa análise. Também não está claro se a mesma falha existe em outros aplicativos da NFL, como NFL Now e NFL Fantasy Football.
Por enquanto, obtenha sua correção do Super Bowl através do site, não do aplicativo da NFL. Não se arrisque.
Riscos para usuários com o aplicativo
A reutilização de senha ainda é um grande problema; portanto, os usuários que possuem a mesma combinação de email / senha para outras contas podem encontrar essas contas comprometidas, alertou Wandera. Informações de perfil como data de nascimento, nome completo, endereços de e-mail e endereço postal, profissão, provedor de TV, sexo e número de telefone podem ser usadas para roubo de identidade, phishing e engenharia social.
"Data de nascimento, nome, endereço e número de telefone são os blocos de construção exatos necessários para iniciar um roubo de identidade bem-sucedido dos fãs da NFL", disse Tuvey.
Se você estiver usando a mesma senha em outros sites, sites particularmente confidenciais como banco e email, altere-os imediatamente.
Os criminosos tinham como alvo sites e aplicativos esportivos profissionais no passado. Os fãs da NFL foram enganados por páginas falsas do Facebook a clicar em links maliciosos para sites que serviam malware Zeus em 2013. Os mal-intencionados no MLB.com serviram antivírus falsos a visitantes inocentes em 2012. Um aplicativo móvel falso, mascarado de dispositivos enraizados no MADDEN NFL 12, interceptaram mensagens SMS e conectaram dispositivos a uma botnet, descobriram os pesquisadores da McAfee em 2012.
Os invasores cibernéticos também gostam de segmentar eventos populares e itens interessantes para espalhar malware e executar ataques de phishing. Esses ataques aproveitam as pessoas que procuram as informações e atualizações mais recentes. O OpenDNS identificou um site tentando imitar a BBC News e fornecendo informações falsas sobre os tiroteios em Charlie Hebdo no início deste mês. Houve várias campanhas de spam e malware direcionadas para as Olimpíadas de Londres e Sochi, além dos jogos anteriores do Super Bowl. Sites pertencentes ao Miami Dolphins exibiram malware por pelo menos uma semana antes do Super Bowl em 2007.
