Հաշվետվություն – Դալիլ տվյալների խախտում. 5+ միլիոն օգտագործողների տվյալներ ՝ բացահայտված չապահովված հավելվածի կողմից


Դալիլը Սաուդյան Արաբիայի ամենամեծ հեռախոսացուցակն է.

Ավելի քան 5 միլիոն ներլցումներ ունենալով ՝ Դալիլը Թագավորության 13-րդ ամենահանրաճանաչ հաղորդումն է. Համատեքստի համար սա այն է, որտեղ Վիբերը և Telegram- ը դասվում են ԱՄՆ-ում. Նրա օգտագործողների 96% -ը գտնվում է Սաուդյան Արաբիայում; մնացած մասը Եգիպտոսում և արաբական այլ երկրներ են.

Ծրագիրը աշխատում է Truecaller- ի նման ՝ օգնելով օգտվողներին պարզել անհայտ համարները. Տեսականորեն, սա առաջարկում է պաշտպանություն սառը զանգահարողների և այլ անցանկալի շփման դեմ.

Այնուամենայնիվ, իրականությունը այլ պատմություն է պատմում: Whiteանաչված սպիտակ գլխարկի հակեր և ակտիվիստ Նոյի Ռ.-ի գլխավորությամբ, VPNMentor- ի հետազոտական ​​խումբը հայտնաբերել է անվտանգության մեծ խախտում Դալիլի տվյալների բազայում. Օգտագործողներին պաշտպանելու փոխարեն ՝ այս խախտումը նշանակում է 5 միլիոն + օգտվողների համար տվյալների ամբողջական փաթեթը բաց և հասանելի է ամբողջ ինտերնետին.

Ծրագրի թույլտվությունները

Ինչպես բոլոր ծրագրերը, Dalil- ը ունի թույլտվությունների ցանկ, որոնցից օգտվողները պետք է համաձայնվեն նախքան ծրագիրը ներբեռնելն ու տեղադրելը: Ակնկալվում են որոշ թույլտվություններ. օրինակ, զանգահարողի ID ծրագիրը պետք է կարդալ կոնտակտները. Այլ թույլտվությունները ավելի կասկածելի են թվումt, ինչպիսիք են ձեր հեռախոսի պահված ֆայլերը կարդալն ու փոփոխելը, զանգերի վերափոխումը և ձեր գտնվելու վայրը հետևելը.

Դալիլի տվյալների շտեմարանն ապահովագրված չէ

Այնուամենայնիվ, կասկածելի թվացող որոշ թույլտվություններ կարող են թվալ, դրանք Դալիլի անվտանգության հիմնարար պատճառը չեն.

Ծրագրի կողմից հավաքված օգտագործողի բոլոր տվյալները պահվում են չապահովված և չկառավարվող MongoDB տվյալների բազայում. Այն անհասանելի է, իսկ հակերներին գաղտնաբառերից օգտվելը միլիոնավոր մարդկանց տվյալներ է տալիս.

Ինչպես նաև դիմումների մատյան, սա տվյալների բազան ներառում է ինչպես հավաքված, այնպես էլ կամավոր ներկայացրած անձնական տվյալներ. Ստորև բերված Օգտագործողի ուղևորությունը ցույց է տալիս, թե որքան տվյալներ կարող են մուտք գործել ծրագիրը:

Լռելյայն, հավելվածը հավաքում է օգտվողներին.

  • Բջջային հեռախոսի համարը
  • IP հասցե (անհրաժեշտության դեպքում ներքին և արտաքին)
  • Սարքի մոդելը, նշանը, սերիայի համարը և գործավար համակարգը
  • IMEI (սարքի հատուկ նույնականացման համարը)
  • SIM քարտի և ցանցի մատակարարի մասին տեղեկատվություն
  • GPS- ի և ցանցի գտնվելու վայրի տեղեկատվությունը

Երբ օգտվողները ստեղծում են իրենց պրոֆիլները, նրանց առաջարկվում է ավելացնել լրացուցիչ տեղեկատվություն, ներառյալ դրանց.

  • Էլփոստի անձնական հաշիվ
  • Անուն և ազգանուն
  • Գենդեր
  • Մասնագիտություն

Կրկին, այս տվյալները ներկայումս հայտնվում են ամբողջովին բաց տվյալների բազայում. Մեր թիմը գտավ դա. Սա նշանակում է յուրաքանչյուր ոք, ով ցանկանում է դա նույնպես որոնել: Եվ մինչ մեր հակերները չարամիտ չեն, մենք չենք կարող երաշխավորել ուրիշների դրդապատճառները.

Նմուշի պրոֆիլ

Ինչպես վերը ցույց տրվեց, հավելվածը հավաքում է մեծ քանակությամբ տեղեկատվություն: Սա մեզ թույլ տվեց ստեղծեք պրոֆիլը Dalil- ի մեկ օգտագործողի համար `կեղծված տվյալներից. Չնայած մենք վերափոխել ենք նույնականացման ցանկացած կարևոր տեղեկատվություն, այն ցույց է տալիս, թե որքան վտանգավոր կարող են լինել այս տվյալները սխալ ձեռքերում.

Ինչպես նաև օգտագործողի հեռախոսահամարը, IMEI և ցանցի տվյալները, մենք կարող ենք նաև տեսնել բազմաթիվ անձնական տեղեկություններ.

Երբ տվյալների բազաներից Unicode- ն արաբերեն լեզվով թարգմանեցինք, մենք տեսնում ենք, որ օգտագործողը թվարկեց իր մասնագիտությունը որպես Հաագայի շրջան, այն տարածքը, որտեղ նա ապրում է: Այնուամենայնիվ, քանի որ նրա էլ. Փոստի հասցեները թվարկված են, մենք պարզապես Googled- ի նրա մանրամասները. Սա մեզ տվեց նրա պրոֆեսիոնալ Instagram պրոֆիլը:

Երբ որոնեցինք թվարկված ձևաչափված հասցեն, մենք գտանք այս գտնվելու վայրը.

Նրա վերջին օգտագործման պահին թվարկված կոորդինատներից ընդամենը երկու բլոկ է ՝ նկարելով մի շատ ճշգրիտ պատկեր, որտեղ կարելի է գտնել այս օգտագործողին.

Անվտանգության խնդիրներ

Սա ներկայացնում է անվտանգության երկու հստակ խնդիր.

Նախ և առաջ. նպատակային adware և չարամիտ ծրագրեր. Թեև տվյալների բազան պաշտպանում է որոշ տվյալներ (օրինակ ՝ գաղտնաբառերը ջնջված են), մատչելի տեղեկատվությունը մեզ թույլ է տալիս ստեղծել բավականին ճշգրիտ օգտվողի պրոֆիլներ.

Եթե ​​այս տվյալների շտեմարանի բովանդակությունը վաճառվում էր երրորդ կողմի գովազդատուներին (կամ մութ ցանցում գտնվող կառավարություններին և ահաբեկչական կազմակերպություններին), օգտագործողների սեռերի, մասնագիտությունների և վայրերի իմացությունը կարող էր նրանց թույլ տալ ստեղծել նպատակային գովազդներ (կամ թշնամական գործողություններ):.

Բացի այդ, և ավելի անհանգստացնող, իմանալով օգտագործողների հեռախոսների, ինչպես նաև դրանց օպերացիոն համակարգերի ճշգրիտ պատրաստումը և մոդելը, թույլ է տալիս խիստ հատուկ չարամիտ տեղադրում. Սա կարող է հսկայական անձնական և ֆինանսական վնաս պատճառել Սաուդյան Արաբիայում, Եգիպտոսում և այլ երկրներում միլիոնավոր օգտագործողների համար, որտեղ հայտնի է Դալիլը.

Կա ևս մեկ, շատ ավելի մռայլ պատճառ, որ Դանիլի չապահովված տվյալների բազան պոտենցիալորեն վտանգավոր է. Սաուդյան Արաբիան աշխարհի որոշ խիստ գրաքննության օրենքներ ունի, որոնք տարածվում են հաստատված ծրագրերի վրա կատարված հեռախոսազանգերի մոնիտորինգի և գրաքննության վրա: Եթե ​​այս տվյալների շտեմարանը ընկնի Սաուդյան Արաբիայի կառավարության ձեռքերը նրանք կարող էին հեշտությամբ նույնականացնել օգտագործողներին իրենց հեռախոսահամարներով և լսել նրանց հեռախոսային խոսակցությունները.

Սա երկու կարմիր դրոշ է բարձրացնում: Նախ և առաջ, թույլտվությունները թույլ են տալիս հավելվածին վերափոխել զանգերը: Հեռախոսազանգերը ավտոմատ կերպով զտվում են թույլատրելի հավելվածի միջոցով, ինչը թույլ է տալիս սաուդցի պաշտոնյաներին լսել.

Հավելվածը նաև թույլ է տալիս «սարքի վրա հաշիվներ գտնել»: Ինչպես ցույց է տրված ստորև նշված օգտվողի պրոֆիլում, հավելվածը տեղեկատվություն է հավաքում օգտագործողների Viber պրոֆիլների մասին: Rakuten- ի Viber- ը Թագավորությունում թույլատրվում է, այսինքն դա ենթակա է հսկողության.

Բացի այդ, ծրագիրը թույլտվությունները թույլ են տալիս մուտք գործել սարքի պահված մեդիա ֆայլերը և ստացված տեքստային հաղորդագրությունները. Թեև մենք տվյալների բազայում որևէ պատկեր, տեսանյութ կամ տեքստ չենք գտել, հնարավոր է, որ այդ ֆայլերը պահվեն այլուր և կարող են նաև թալանվել.

Մենք հայտնաբերեցինք, որ հավելվածում նաև արձանագրվում են դրա միջոցով կատարված որոնումները. Չնայած կոնտակտի հեռախոսահամարը կոդավորված է տվյալների շտեմարանում, սակայն գրանցվում են այն կոնտակտների անունները, որոնցում փնտրում է օգտագործողը.

Խիստ գրաքննությունը, որը զուգորդվում է օգտագործողի տեղանքները հետևելու հնարավորության հետ (նորից, ծրագրի թույլտվության պատճառով), կարող է նշանակել ծանր հետևանքներ ցանկացած մարդու համար, ով բռնում է Սաուդյան Արաբիայի օրենքները խախտող. Եթե ​​Սաուդյան Արաբիայի կառավարությունը մուտք ունենա այս տվյալների շտեմարան, մարդիկ, որոնց մասնագիտությունները նրանց թույլ են տալիս մոնիտորինգի ենթարկել, կարող են իրական վտանգներ զգալ.

Օրինակ ՝ լրագրողը պետք է կապ ունենա և խոսի կապի մասին և հանդիպի, կառավարությունը տեսականորեն կարող էր նույնականացնել այդ կապը. Հատկապես դա հնարավոր է, եթե շփումը պահպանվել է նույնացուցիչի հետ (օրինակ ՝ «Bob – Pizza» կամ «Sophie – Work»), և հաշվի առնելով այդ Սաուդյան Արաբիայի բնակչության 15% -ը օգտագործում է Դալիլը.

Հավելվածի գտնվելու վայրի թույլտվությունները նշանակում են, որ պաշտոնատար անձինք կարող են հետապնդել լրագրողին (և նրանց կապը): Նրանք կարող էին հետևել նրան հանդիպմանը, լսել հաղորդված ամեն ինչ և անմիջապես ձերբակալել նրան.

Էթիկական հակերություն և եզրակացություն

Մենք հայտնաբերեցինք այս խախտումը վեբ քարտեզագրման ծրագրի արդյունքում: Մեր հաքերը օգտագործում է նավահանգստի սկանավորումը ՝ IP- ի որոշակի բլոկները ուսումնասիրելու և թույլ կողմերի համակարգերում բաց խոռոչներ ստուգելու համար: Նրանք ուսումնասիրում են յուրաքանչյուր անցք `տվյալների արտահոսքի համար: Այս դեպքում, նրանք տեղադրեցին ծրագիրը և մուտքագրեցին իրենց սեփական տվյալները: Սա նրանց թույլ տվեց հաստատել, այնպես էլ իրենց տվյալների արտահոսքը, և տվյալների բազայի ինքնությունը.

Մենք կապեցինք Դալիլի հետ ՝ նրանց ահազանգելու համար անվտանգության այս խախտման մասին. Մեր տեղեկությունները պարունակում էին այն ամսաթիվը, որի ընթացքում մենք նախատեսել ենք հրապարակել այս հոդվածը և նրանց տրամադրել մի քանի օր `նախքան այս գիտելիքների հրապարակումը: Հրապարակման պահին մենք նրանցից դեռ չէինք լսել: Քանի որ հակերները կարող են ակնհայտորեն գտնել այս տվյալների բազան առցանց, և, հնարավոր է, արդեն կան: կարևոր է մեր գտածոները կիսել հանրության հետ այնպես որ նրանք կարող են համապատասխան միջոցներ ձեռնարկել իրենց տվյալները պաշտպանելու համար.

Այն բանից հետո, երբ մենք հայտնեցինք խնդիրը Դալիլին (և մինչ մենք հրապարակեցինք այս զեկույցը), մենք նկատեցինք նաև, որ մինչ սերվերի վերաբերյալ որոշ տվյալներ գաղտնագրվում են, բայց նոր տվյալները մուտքագրվելիս չբացահայտվել են. Սա ցույց է տալիս, որ առնվազն մեկ չարամիտ դերասան էր մուտք գործում Դալիլի օգտագործողի տվյալները: Մենք կոչ ենք անում Դալիլին հնարավորինս ուժեղ ժամկետներում գործել արագ և պաշտպանել իրենց օգտագործողներին.

Դասը այստեղ պարզ է. ժողովրդականությունը հավասար չէ վստահության. Դալիլի անապահով բազան վկայում է այդ մասին օգտագործողները պետք է զգույշ լինեն, երբ համաձայնություն են տալիս ծրագրի թույլտվություններին և անհայտ սուբյեկտներին իրենց անձնական տեղեկատվությանը վստահելը, քանի որ նույնիսկ ամենաշատ դիտվող ծրագրերը սխալներ են թույլ տալիս.

Անցյալ հաշվետվություններ

Կարող եք նաև կարդալ Իրանում օգտագործվող կեղծ հավելվածների մասին զեկույցը `օգտագործողներին դիտորդելու, VPN արտահոսքի մասին զեկույցի և տվյալների գաղտնիության վիճակագրության վերաբերյալ զեկույց.

Խնդրում ենք տարածել այս զեկույցը Facebook- ում կամ գրեք Twitter- ում.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map