Sconfitta di dati sensibili riguardo a diverse app Android molto popolari

Sconfitta di dati sensibili riguardo a diverse app Android molto popolari

Un circolo di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha scoperto alcune vulnerabilita per diverse app Android alquanto popolari, con cui Instagram, Vine, OKCupid e molte altre.

Un circolo di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha scoperto alcune vulnerabilita con diverse app Android alquanto popolari, con cui Instagram, Vine, OKCupid e molte altre. I bug potrebbero disporre mediante minaccia i dati di intorno a 968 milioni di utenti cosicche hanno installato le applicazioni interessate dal questione sui loro dispositivi Android.

Il mio collega Chris Brook di Threatpost ha riportato in quanto la maggior ritaglio dei bug scoperti dai ricercatori (si veda una raggruppamento di video pubblicati sopra YouTube) proveniva da unito storage dove i contenuti non venivano criptati sui server controllati dalle app vulnerabili.

“Chiunque avesse portato ovvero continuasse per usare queste applicazioni e a azzardo di sortita di informazioni perche potrebbe interessare un ampio frequenza di dati, fra cui le password”, afferma Abe Baggili, braccio destro presso la facolta di informatica del Tagliatela College of Engineering dell’Universita del New Haven, inoltre superiore del cFREG.

In Threatpost, la funzionalita dei Messaggi Diretti di Instangram permetteva di carpire le scatto giacche venivano condivise dagli utenti, simile modo immagini vecchie immagazzinate mediante plain text sui server di Instagram. I ricercatori hanno osservato in quanto eta facile impadronirsi anche certe keyword riguardo a HTTP, permettendo loro di trovare le informazioni condivise tra gli utenti della occupare app. Un’app di filmato chatting appello ooVoo conteneva sostanzialmente la stessa vulnerabilita di Instagram. Sopra anteriore contro attuale blog abbiamo in passato parlato del evento affinche Instagram non adotta una crittografia completa.

Tre delle app gratuite di messaggistica e videochiamata, Tangi, Nimbuzz e Kik contengono dei bug affinche hanno concesso ai ricercatori di rapinare immagini, localizzazioni e monitor. Su Nimbuzz evo ed facile apporre direzione sulle password degli utenti, immagazzinate durante plan text.

MeetMe, MessageMe e TextMe inviano tutte informazioni sopra educato non criptato e sopra plain text giacche potrebbe dare all’hacker la possibilita di controllare le comunicazioni degli utenti che utilizzano quelle applicazioni circa tranello limitato. Con queste app, ancora l’invio e la accoglienza di immagini, inoltre la complicita della livello geografica possono avere luogo monitorizzate. I ricercatori sono di nuovo riusciti per vedere il file del archivio elettronico TextMe affinche immagazzina le credenzilai di login dell’utente sopra plain text.

Grindr, HeyWire, Hike e TextPlus sono stati colpiti dagli stessi bug. Messaggi, fotografia e localizzazioni possono capitare sottratti dai cybercriminali utilizzando strumenti semplici mezzo WireShark. Oltre a cio, le foto inviate con Grindr, HeyWire e TextPlus rimanevano nei server con plain text e disponibili attraverso settimane strada certificazione.

“Grazie all’utilizzo di HeliumBackup, un backup extractor di Android, siamo riusciti ad accedere al file di backup attraverso i messaggi di testo”, ha eletto un scienziato. “Quando abbiamo spazioso il file, abbiamo permesso cosicche c’erano screenshot dell’attivita degli utenti affinche non avevamo scattato noi. Non sappiamo motivo quelle screenshot erano in quel luogo ne ragione erano immagazzinate sul dispositivo”.

Nel schermo conclusione, i ricercatori hanno controllo quail app immagazzinavano dati sensibili. Malauguratamente, TextPlus, Nimbuzz e TextMe immagazzinavano credenziali di accesso durante plain text. Per porzione queste tre app, ed MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, meetville Vox and Words With Friends immagazzinavano credenziali di imbocco sopra plain text.

“Sebbene i dati vengano trasmessi mediante forma sicura da un fruitore all’altro, abbiamo esplorato perche le comunicazioni private possono succedere visualizzate da gente dato che i dati non sono criptati e l’utente modello non lo sa”, ha affermato Baggili.

I ricercatori hanno misurato per formare gli sviluppatori delle app sopra litigio, ma si sono imbattuti in formulari di contatto, non c’e stata capacita di sbraitare subito con loro. Durante un’intervista cammino e-mail, Abe Biggili non sapeva nel caso che i bug individuati da lui e dal adatto equipe fossero stati risolti.

Falle nella #privacy sono state provocate da problemi nella #crittografia in molte app #Android popolari

Tweet

Abbiamo contattato Instagram per portare spiegazioni, ma l’azienda a causa di il periodo non ci ha arpione risposto.

Non e lucente nell’eventualita che gli sviluppatori di queste applicazioni abbiano proposito di risolvere le vulnerabilita che abbiamo detto.

CNET ha contattato Instagram, Kik e Grindr. Instagram ha manifesto di trattenersi passando alla cifratura completa per la sua app Android, e questa innovazione risolverebbe molti problemi. Kik ha eletto di alloggiare lavorando nella codice dei disegni condivisi dagli utenti, bensi non delle chat durante quanto sono isolate e non accessibili da altre app del telefono. Hanno affermato, inoltre, cosicche presente modo di ammucchiare i dati sia a sufficienza citta nel sezione. Grindr sta revisionando il report di sicurezza e in quanto apportera le modifiche opportune.

Leave a comment

Your email address will not be published. Required fields are marked *