Evasione di dati sensibili verso diverse app Android molto popolari
Un branco di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha scoperchiato alcune vulnerabilita in diverse app Android molto popolari, frammezzo a cui Instagram, Vine, OKCupid e molte altre.
Un branco di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha esplorato alcune vulnerabilita in diverse app Android alquanto popolari, in mezzo a cui Instagram, Vine, OKCupid e molte altre. I bug potrebbero apporre durante possibilita i dati di quasi 968 milioni di utenti cosicche hanno installato le applicazioni interessate dal pensiero sui loro dispositivi Android.
Il mio collega Chris Brook di Threatpost ha riportato giacche la maggior dose dei bug scoperti dai ricercatori (si veda una sfilza di filmato pubblicati contro YouTube) proveniva da singolo storage se i contenuti non venivano criptati sui server controllati dalle app vulnerabili.
“Chiunque avesse portato ovvero continuasse verso adottare queste applicazioni e verso rischio di defezione di informazioni perche potrebbe affascinare un ricco elenco di dati, tra cui le password”, afferma Abe Baggili, collaboratore presso la autorizzazione di informatica del Tagliatela College of Engineering dell’associazione del New Haven, pure estremita del cFREG.
A causa di Threatpost, la funzionalita dei Messaggi Diretti di Instangram permetteva di rubare le foto perche venivano condivise dagli utenti, almeno mezzo immagini vecchie immagazzinate per plain text sui server di Instagram. I ricercatori hanno osservato in quanto periodo verosimile appropriarsi ancora certe keyword sopra HTTP, permettendo loro di vedere le informazioni condivise tra gli utenti della popolare app. Un’app di video chatting chiamata ooVoo conteneva primariamente la stessa vulnerabilita di Instagram. In accaduto circa corrente blog abbiamo in passato parlato del atto perche Instagram non adotta una codice completa.
Tre delle app gratuite di messaggistica e videochiamata, Tangi, Nimbuzz e Kik contengono dei bug che hanno concesso ai ricercatori di rubare immagini, localizzazioni e filmato. Su Nimbuzz periodo e plausibile disporre giro sulle password degli utenti, immagazzinate per plan text.
MeetMe, MessageMe e TextMe inviano tutte informazioni in formato non criptato e con plain text che potrebbe riconoscere all’hacker la probabilita di monitorizzare le comunicazioni degli utenti in quanto utilizzano quelle applicazioni riguardo a rete stanza. In queste app, ancora l’invio e la ricezione di immagini, tanto piu la complicita della atteggiamento geografica possono risiedere monitorizzate. I ricercatori sono di nuovo riusciti per vedere il file del database TextMe affinche immagazzina le credenzilai di login dell’utente per plain text.
Grindr, HeyWire, Hike e TextPlus sono stati colpiti https://besthookupwebsites.org/it/siti-di-incontri-popolari/ dagli stessi bug. Messaggi, foto e localizzazioni possono avere luogo sottratti dai cybercriminali utilizzando strumenti semplici mezzo WireShark. Oltre a cio, le rappresentazione inviate mediante Grindr, HeyWire e TextPlus rimanevano nei server sopra plain text e disponibili verso settimane inizio autenticazione.
“Grazie all’utilizzo di HeliumBackup, un backup extractor di Android, siamo riusciti ad accedere al file di backup per i messaggi di testo”, ha evidente un indagatore. “Quando abbiamo aperto il file, abbiamo controllo perche c’erano screenshot dell’attivita degli utenti in quanto non avevamo scattato noi. Non sappiamo ragione quelle screenshot erano in quel luogo neanche ragione erano immagazzinate sul dispositivo”.
Nel videoclip decisivo, i ricercatori hanno autenticazione quail app immagazzinavano dati sensibili. Purtroppo, TextPlus, Nimbuzz e TextMe immagazzinavano credenziali di entrata in plain text. A porzione queste tre app, ancora MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Vox and Words With Friends immagazzinavano credenziali di accesso con plain text.
“Sebbene i dati vengano trasmessi durante foggia sicura da un utente all’altro, abbiamo scoperchiato affinche le comunicazioni private possono risiedere visualizzate da altri poiche i dati non sono criptati e l’utente autentico non lo sa”, ha affermato Baggili.
I ricercatori hanno misurato per formare gli sviluppatori delle app sopra disputa, pero si sono imbattuti per formulari di amicizia, non c’e stata capacita di urlare chiaramente mediante loro. Mediante un’intervista via e-mail, Abe Biggili non sapeva dato che i bug individuati da lui e dal proprio gruppo fossero stati risolti.
Falle nella #privacy sono state provocate da problemi nella #crittografia in molte app #Android popolari
Tweet
Abbiamo contattato Instagram durante avere spiegazioni, eppure l’azienda durante il periodo non ci ha attualmente risposto.
Non e leggero se gli sviluppatori di queste applicazioni abbiano proposito di sistemare le vulnerabilita affinche abbiamo esposto.
CNET ha contattato Instagram, Kik e Grindr. Instagram ha affermato di alloggiare passando alla cifratura completa a causa di la sua app Android, e questa alterazione risolverebbe molti problemi. Kik ha affermato di aderire lavorando nella codice dei disegni condivisi dagli utenti, pero non delle chat con quanto sono isolate e non accessibili da altre app del telefono. Hanno eletto, inoltre, in quanto corrente atteggiamento di stoccare i dati come sufficientemente citta nel parte. Grindr sta revisionando il report di sicurezza e in quanto apportera le modifiche opportune.
Leave a Reply
Want to join the discussion?Feel free to contribute!