Video: 3 Apps To Watch The NFL Live Free And Legal On Almost Any Device (September 2024)
Vegas bookies kanske tittar på Seattle Seahawks och New England Patriots nära denna Super Bowl-söndag, men hackare med svart hatt kan vara mer intresserade av att samla in personuppgifter från fansens Android-enheter, varnade ett mobilt säkerhetsföretag idag.
Attacker skulle kunna starta attacker mellan mitten och mitten för att utnyttja en allvarlig sårbarhet i den populära NFL Mobile-appen som avslöjar användarnas känsliga personuppgifter lagrade på Android-enheter, säger Wandera i en rådgivande. En talesman för företaget berättade för SecurityWatch att problemet förblir oförändrat.
"Det är ironiskt att precis som en quarterback är sårbar för en avlyssning, är NFL-appen sårbar för en man-i-mitt-attack som sätter användarnas data i risk för avlyssning av hackare, " säger Eldar Tuvey, VD för Wandera.
Okrypterade samtal läcker användarinformation
Appen kräver att användaren loggar in säkert med NFL.com-referenser, men läcker sedan användarnamnet och lösenordet i ett sekundärt okrypterat API-samtal, fann Wandera-forskare. Användarnamnet och e-postadressen lagras också i en okrypterad cookie omedelbart efter inloggning och på efterföljande samtal till nfl.com. Angriparen kan använda referenser för att komma åt användarens fulla profil på nfl.com. Profilsidan är okrypterad, vilket innebär att angripare kan använda man-i-mitten-attacker för att avlyssna data från sidan.
"Risken är särskilt hög för närvarande, när användare troligen kommer att komma åt appen inför säsongens största spel mellan New England Patriots och Seattle Seahawks, " sade företaget i sin rådgivande.
Det är oklart just nu om sparad kreditkortsinformation skulle vara synlig för angriparen, eftersom säkerhetsteamet inte försökte köpa några NFL-märkta varor från sajten under denna analys. Det är inte heller klart om samma brist finns i andra NFL-appar, som NFL Now och NFL Fantasy Football.
För närvarande kan du få din Super Bowl-fix via webbplatsen, inte NFL-appen. Sätt inte dig själv i riskzonen.
Risker för användare med appen
Återanvändning av lösenord är fortfarande ett stort problem, så användare som har samma e-post / lösenordskombination för andra konton kan hitta dessa konton komprometterade, varnade Wandera. Profilinformation som födelsedatum, fullt namn, e-post- och postadresser, yrke, TV-leverantör, kön och telefonnummer kan användas för identitetsstöld, phishing och social engineering.
"Födelsedatum, namn, adress och telefonnummer är de exakta byggstenarna som krävs för att inleda en framgångsrik identitetsstöld från NFL-fansen, " sade Tuvey.
Om du använder samma lösenord på andra webbplatser, särskilt känsliga webbplatser som bank och e-post, ändra dem omedelbart.
Kriminella har tidigare riktat sig till professionella sportsidor och appar. NFL-fans blev lurade av falska Facebook-sidor för att klicka på skadliga länkar till webbplatser som serverar Zeus skadlig programvara 2013. Skadliga s på MLB.com serverade falska antivirus för intetanande besökare under 2012. En falsk mobilapp som maskerades som MADDEN NFL 12-spelets rotade enheter, fångade sms-meddelanden och anslutna enheter till ett botnet, fann forskare från McAfee 2012.
Cyber-angripare gillar också att rikta in sig på populära evenemang och nyhetsvärda artiklar för att sprida skadlig programvara och utföra phishing-attacker. Dessa attacker utnyttjar människor som letar efter den senaste informationen och uppdateringarna. OpenDNS identifierade en webbplats som försöker efterlikna BBC News och servera falsk information om skjutningarna på Charlie Hebdo tidigare denna månad. Det fanns flera skräppost- och skadlig kampanjer riktade till OS i London och Sochi samt tidigare Super Bowl-spel. Webbplatser som tillhör Miami Dolphins serverade skadlig programvara i minst en vecka före Super Bowl 2007.
