Verslag – Dalil-data-oortreding: 5+ miljoen gebruikers se data word deur die onversekerde app blootgestel


Dalil is die grootste telefoongids in Saoedi-Arabië.

Met meer as 5 miljoen downloads is Dalil die 13de gewildste kommunikasie-app in die Koninkryk. Ter wille van konteks is dit die plek waar Viber en Telegram in die VSA staan. 96% van sy gebruikers is in Saoedi-Arabië; die res is in Egipte en ander Arabiese lande.

Die app werk soos Truecaller, en help gebruikers om onbekende nommers te identifiseer. In teorie bied dit beskerming teen koue bellers en ander ongewenste kontak.

Die werklikheid vertel egter ‘n ander verhaal. Gelei deur Noam R., ‘n bekende white hat hacker en aktivis, Die navorsingspan van VPNMentor het ‘n groot sekuriteitsbreuk in Dalil se databasis ontdek. In plaas daarvan om gebruikers te beskerm, beteken hierdie oortreding volledige stelle data vir 5 miljoen gebruikers is oop en toeganklik na die hele internet.

Programtoestemmings

Soos alle programme, het Dalil ‘n lys met toestemmingsversoeke waarop gebruikers moet instem voordat hulle die program aflaai en installeer. Sommige toestemmings word verwag; Byvoorbeeld, ‘n oproeper-ID-app moet kontakte lees. Ander toestemmings lyk meer vermoedelikt, soos om die gestoorde lêers van u foon te lees en te wysig, oproepe te herlei en u plek op te spoor.

Dalil se databasis is nie verseker nie

Hoe vermoedelik sommige toestemmings ook al mag voorkom, dit is nie die oorsaak van Dalil se veiligheidskwessies nie.

Al die gebruikersdata wat deur die app ingesamel is, word in ‘n onbeveiligde en onbewaakte MongoDB-databasis gestoor. Dit kan sonder verifikasie bereik word, wat aan hackers toegang tot miljoene mense se wagwoordvrye toegang gee.

Sowel as die toepassingslogboek, dit databasis bevat sowel geoes as persoonlike vrywillige inligting. Die User Journey hieronder toon hoeveel data die app kan verkry:

Die program versamel gebruikers standaard:

  • Selfoonnommer
  • IP-adres (intern en ekstern waar van toepassing)
  • Toestelmodel, token, reeksnommer en bedryfstelsel
  • IMEI (die spesifieke identifikasienommer van die toestel)
  • Simkaart- en netwerkverskafferinligting
  • GPS- en netwerkligginginligting

Wanneer gebruikers hul profiele skep, word hulle gevra om addisionele inligting by te voeg, insluitend hul:

  • Persoonlike e-pos rekening
  • Voornaam en van
  • geslag
  • beroep

weer, hierdie data verskyn tans in ‘n volledig oop databasis. Ons span het dit gevind: dit beteken dat iemand anders wat dit ook wil doen. En hoewel ons hackers nie kwaadwillig is nie, kan ons nie ander se motiverings waarborg nie.

Voorbeeldprofiel

Soos hierbo aangedui, versamel die app groot hoeveelhede inligting. Dit het ons in staat gestel om skep ‘n profiel vir een Dalil-gebruiker uit gekapte data. Alhoewel ons enige belangrike identifiserende inligting herontwerp het, wys dit hoe gevaarlik hierdie data in die verkeerde hande kan wees.

Sowel as die gebruiker se telefoonnommer, IMEI en netwerkdata, kan ons ook baie persoonlike inligting sien.

Toe ons die Unicode uit die databasis in Arabiese letters vertaal het, sien ons die gebruiker het sy beroep gelys as die Ha’il-streek, die omgewing waarin hy woon. Aangesien albei sy e-posadresse gelys is, het ons sy besonderhede eenvoudig opgeneem. Dit het ons sy professionele Instagram-profiel gegee:

Toe ons na die formatteerde adres soek, het ons hierdie plek gevind:

Dit is net twee blokke van die koördinate af wat ten tyde van sy laaste gebruik gelys is, met ‘n baie akkurate prentjie van waar hierdie gebruiker gevind kan word:

Sekuriteitskwessies

Dit bevat twee duidelike veiligheidskwessies.

In die eerste plek: gerigte adware en malware. Alhoewel die databasis sekere data beskerm (byvoorbeeld, wagwoorde deur gebruikers gebruik is), kan die beskikbare inligting ons redelik akkurate gebruikersprofiele skep.

As die inhoud van hierdie databasis aan derdepartye-adverteerders (of regerings en terreurorganisasies op die donker web) verkoop is, sou die kennis van geslagte, beroepe en liggings van gebruikers dit in staat stel om geteikende advertensies (of vyandige dade) te skep.

Daarbenewens, en ook meer kommerwekkend, is dit die vermoë om die presiese merk en model van gebruikersfone en hul bedryfstelsels te ken hoogs spesifieke malware-plasing. Dit kan groot persoonlike en finansiële verliese vir miljoene gebruikers regoor Saoedi-Arabië, Egipte en ander lande waar Dalil gewild is, veroorsaak.

Daar is nog ‘n baie donkerder rede dat die onversekerde databasis van Dalil potensieel so gevaarlik is. Saoedi-Arabië het van die strengste sensuurwette ter wêreld, wat betrekking het op die monitering en sensuur van oproepe wat via goedgekeurde programme gedoen word. Sou hierdie databasis in die Saoedi-regering se hande, hulle kon gebruikers maklik volgens hul telefoonnommers identifiseer en na hul telefoongesprekke luister.

Dit lig twee rooi vlae op. Eerstens laat die regte toe dat die app oproepe herlei. Oproepe word outomaties deur ‘n toegelate app gefilter, wat Saoedi-amptenare in staat stel om daarna te luister.

Die app het ook toestemming om ‘rekeninge op die toestel te vind’. Soos aangetoon in die gebruikersprofiel hieronder, oes die app inligting oor Viber-profiele van gebruikers. Rakuten se Viber is toegelaat in die Koninkryk, wat beteken dit is vatbaar vir toesig.

Verder is die app toestemmings gee toegang tot die gestoorde medialêers van die toestel en SMS-boodskappe wat ontvang is. Alhoewel ons geen beelde, video’s of tekste in die databasis gevind het nie, is dit moontlik dat hierdie lêers elders gestoor word en dit kan ook gehack word.

Ons het ontdek dat die app teken ook soektogte aan wat daardeur gedoen word. Alhoewel die kontaknommer se telefoonnommer in die databasis geënkripteer is, word die name van kontakte wat die gebruiker soek, aangeteken.

Streng sensuur gekombineer met die vermoë om gebruikersliggings op te spoor (weereens weens die toestemmings van die app) kan dit beteken ernstige gevolge vir almal wat vasgevang is wat in stryd is met die wette van Saoedi-Arabië. As die Saoedi-Arabiese regering toegang tot hierdie databasis verkry, kan mense wie se beroepe hulle oop hou vir monitering werklike gevare ervaar.

Sou ‘n joernalis byvoorbeeld ‘n kontak soek – en met hom praat – en reël om te vergader, die regering kon hierdie kontak teoreties identifiseer. Dit is veral waarskynlik as die kontak met ‘n identifiseerder (soos “Bob – Pizza” of “Sophie – Work”) gestoor is, en 15% van die bevolking van Saoedi-Arabië gebruik Dalil.

Die liggingstoestemmings van die app beteken dat amptenare die joernalis (en hul kontak) kon opspoor. Hulle kon hom na ‘n vergadering volg, na alles wat berig is, luister en hom onmiddellik in hegtenis neem.

Etiese hacking en gevolgtrekking

Ons het hierdie oortreding ontdek as gevolg van ‘n webkarteringsprojek. Ons hacker gebruik haweskandering om spesifieke IP-blokke te ondersoek en oop gate in stelsels te toets vir swakhede. Hulle ondersoek elke gat vir gegewens wat lek. In hierdie geval, hulle het die app geïnstalleer en hul eie data ingevoer. Dit kon hulle albei bevestig dat hul data uitgelek is, en die identiteit van die databasis.

Ons het Dalil gekontak om hulle in kennis te stel van hierdie veiligheidsoortreding. Ons inligting bevat die datum waarop ons beplan het om hierdie artikel te publiseer, en het hulle ‘n paar dae gegee om hul databasis te vind en te beveilig voordat hierdie kennis openbaar geword het. Ten tyde van die publikasie het ons nog nie van hulle gehoor nie. Aangesien hackers hierdie databasis natuurlik aanlyn kan vind – en dit moontlik al het – is dit belangrik om ons bevindings met die publiek te deel sodat hulle toepaslike maatreëls kan tref om hul data te beskerm.

Nadat ons die kwessie aan Dalil gerapporteer het (en voordat ons hierdie verslag gepubliseer het), het ons ook opgemerk dat sommige data op die bediener geënkripteer is, maar nuwe data is ongeënkripteer toe dit aangemeld is. Dit wys dat ten minste een kwaadwillige akteur toegang tot Dalil se gebruikersdata verkry. Ons versoek Dalil in die sterkste moontlike terme om vinnig op te tree en hul gebruikers te beskerm.

Die les hier is duidelik: gewildheid is nie gelyk aan betroubaarheid nie. Die onversekerde databasis van Dalil is ‘n bewys dat gebruikers moet versigtig wees as hulle instem tot toestemmings vir app en om onbekende entiteite hul persoonlike inligting toe te vertrou, aangesien selfs die gewildste programme foute maak.

Vorige verslae

Miskien wil u ook ons ​​verslag lees van vals apps wat in Iran gebruik word om gebruikers te monitor, VPN-lekverslag en data-privaatheidsstatistiese verslag.

Deel hierdie berig op Facebook of tweet dit.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map