视频: The Official 2020 NFL Power Rankings (Week 12 Edition) || TPS (十一月 2024)
一家移动安全公司今天警告说,拉斯维加斯的赌徒可能会在本超级碗周日密切注视着西雅图海鹰队和新英格兰爱国者队,但是黑帽黑客可能会对从粉丝的Android设备上收集个人数据更感兴趣。
Wandera在一份通报中说,攻击者将能够发起中间人攻击,以利用流行的NFL Mobile应用程序中的严重漏洞,该漏洞暴露用户存储在Android设备上的敏感个人数据。 公司发言人告诉 SecurityWatch ,问题仍然没有解决。
“具有讽刺意味的是,就像四分卫容易受到拦截一样,NFL应用也容易受到中间人攻击,从而使用户数据面临被黑客拦截的风险,” Eldar Tuvey首席执行官说万德拉。
未加密的呼叫泄漏用户信息
Wandera研究人员发现,该应用程序要求用户使用NFL.com凭据安全登录,但随后会在未加密的辅助API调用中泄漏用户名和密码。 用户名和电子邮件地址也将在登录后以及随后对nfl.com的调用中立即存储在未加密的Cookie中。 攻击者可以使用凭据访问nfl.com上用户的完整个人资料。 配置文件页面未加密,这意味着攻击者可以使用中间人攻击来拦截页面中的数据。
该公司在其咨询报告中说:“当用户很可能在新英格兰爱国者队和西雅图海鹰队之间本赛季最大的比赛之前访问该应用程序时,风险尤其高。”
目前尚不清楚攻击者是否可以看到保存的信用卡信息,因为安全团队在此分析过程中并未尝试从该站点购买任何NFL品牌的商品。 还不清楚其他NFL应用程序是否存在相同的缺陷,例如NFL Now和NFL Fantasy Football。
目前,请通过网站(而非NFL应用)获取“超级碗”解决方案。 不要冒险。
使用该应用程序给用户带来的风险
Wandera警告说,密码重用仍然是一个大问题,因此对于其他帐户使用相同电子邮件/密码组合的用户可能会发现这些帐户已被盗用。 个人资料信息(例如出生日期,全名,电子邮件和邮政地址,职业,电视提供商,性别和电话号码)可用于身份盗用,网络钓鱼和社会工程。
图维说:“出生日期,姓名,地址和电话号码是成功发起NFL球迷身份盗窃所需要的确切组成部分。”
如果您在其他站点(尤其是银行和电子邮件等敏感站点)上使用相同的密码,请立即更改它们。
过去,犯罪分子将职业体育网站和应用作为目标。 NFL粉丝在2013年通过虚假的Facebook页面欺骗指向服务Zeus恶意软件的网站的恶意链接。2012年,MLB.com上的Malicious s向毫无戒心的访问者提供了虚假的防病毒软件。迈克菲研究人员在2012年发现,他们拦截了SMS消息并将设备连接到僵尸网络。
网络攻击者还喜欢针对流行事件和具有新闻价值的项目,以传播恶意软件并执行网络钓鱼攻击。 这些攻击利用了人们寻找最新信息和更新的优势。 OpenDNS确定了一个网站,该网站试图模仿BBC新闻,并提供有关本月初在Charlie Hebdo枪击事件的虚假信息。 针对伦敦和索契奥运会以及过去的超级碗比赛,有一些垃圾邮件和恶意软件活动。 在2007年超级碗比赛之前,属于迈阿密海豚队的网站至少在一周内发布了恶意软件。
