Video: COMO VER EL PERFIL DE OTRO USUARIOS EN SNAPCHAT EN CELULAR 2020 Sencillo (Noviembre 2024)
Los corredores de apuestas de Las Vegas pueden estar observando de cerca a los Seattle Seahawks y los New England Patriots este domingo del Super Bowl, pero los piratas informáticos pueden estar más interesados en recopilar datos personales de los dispositivos Android de los fanáticos, advirtió hoy una empresa de seguridad móvil.
Los atacantes podrían lanzar ataques man-in-the-middle para explotar una vulnerabilidad grave en la popular aplicación NFL Mobile que expone los datos personales confidenciales de los usuarios almacenados en dispositivos Android, dijo Wandera en un aviso. Un portavoz de la compañía dijo a SecurityWatch que el problema sigue sin resolverse.
"Es irónico que al igual que un quarterback sea vulnerable a una intercepción, la aplicación de la NFL es vulnerable a un ataque de intermediario que pone los datos de los usuarios en riesgo de ser interceptados por piratas informáticos", dijo Eldar Tuvey, CEO de Wandera
Información de usuario de fuga de llamadas no cifradas
La aplicación requiere que el usuario inicie sesión de forma segura con las credenciales de NFL.com, pero luego filtra el nombre de usuario y la contraseña en una llamada secundaria de API sin cifrar, encontraron los investigadores de Wandera. El nombre de usuario y la dirección de correo electrónico también se almacenan en una cookie sin cifrar inmediatamente después de iniciar sesión y en llamadas posteriores a nfl.com. El atacante puede usar las credenciales para acceder al perfil completo del usuario en nfl.com. La página de perfil no está encriptada, lo que significa que los atacantes pueden usar ataques de hombre en el medio para interceptar datos de la página.
"El riesgo es particularmente alto en este momento, cuando es probable que los usuarios accedan a la aplicación antes del juego más grande de la temporada entre los New England Patriots y los Seattle Seahawks", dijo la compañía en su aviso.
No está claro en este momento si la información de la tarjeta de crédito guardada sería visible para el atacante, ya que el equipo de seguridad no intentó comprar ninguna mercancía de la marca NFL del sitio durante este análisis. Tampoco está claro si existe el mismo defecto en otras aplicaciones de la NFL, como NFL Now y NFL Fantasy Football.
Por el momento, obtenga su solución para el Super Bowl a través del sitio web, no de la aplicación NFL. No te pongas en riesgo.
Riesgos para los usuarios con la aplicación
La reutilización de la contraseña sigue siendo un gran problema, por lo que los usuarios que tienen la misma combinación de correo electrónico / contraseña para otras cuentas pueden encontrar esas cuentas comprometidas, advirtió Wandera. La información de perfil, como la fecha de nacimiento, el nombre completo, el correo electrónico y las direcciones postales, la ocupación, el proveedor de televisión, el género y el número de teléfono, se pueden usar para el robo de identidad, el phishing y la ingeniería social.
"La fecha de nacimiento, el nombre, la dirección y el número de teléfono son los bloques de construcción exactos necesarios para iniciar un robo de identidad exitoso de los fanáticos de la NFL", dijo Tuvey.
Si está utilizando la misma contraseña en otros sitios, especialmente en sitios sensibles como la banca y el correo electrónico, cámbielos de inmediato.
Los delincuentes han apuntado a sitios y aplicaciones de deportes profesionales en el pasado. Los fanáticos de la NFL fueron engañados por páginas falsas de Facebook para que hicieran clic en enlaces maliciosos a sitios que sirven malware de Zeus en 2013. Malicious s en MLB.com sirvió antivirus falso a visitantes desprevenidos en 2012. Una aplicación móvil falsa que se hizo pasar por el dispositivo MADDEN NFL 12 rooteado, Los investigadores de McAfee encontraron en 2012 mensajes SMS interceptados y dispositivos conectados a una botnet.
A los ciberatacantes también les gusta apuntar a eventos populares y artículos de interés periodístico para difundir malware y ejecutar ataques de phishing. Estos ataques aprovechan a las personas que buscan la información y las actualizaciones más recientes. OpenDNS identificó un sitio web que intentaba imitar a BBC News y ofrecer información falsa sobre los disparos a Charlie Hebdo a principios de este mes. Hubo varias campañas de correo no deseado y malware dirigidas a los Juegos Olímpicos de Londres y Sochi, así como a juegos anteriores del Super Bowl. Los sitios web pertenecientes a los Miami Dolphins sirvieron malware durante al menos una semana antes del Super Bowl en 2007.
