Evasione di dati sensibili contro diverse app Android assai popolari

Un aggregazione di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha scoperchiato alcune vulnerabilita con diverse app Android tanto popolari, fra cui Instagram, Vine, OKCupid e molte altre.

Un gruppo di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha rivelato alcune vulnerabilita con diverse app Android alquanto popolari, tra cui Instagram, Vine, OKCupid e molte altre. I bug potrebbero disporre con possibilita i dati di pressappoco 968 milioni di utenti che hanno installato le applicazioni interessate dal incognita sui loro dispositivi Android.

Il mio collega Chris Brook di Threatpost ha riportato cosicche la maggior dose dei bug scoperti dai ricercatori (si veda una successione di videoclip pubblicati circa YouTube) proveniva da ciascuno storage ove i contenuti non venivano criptati sui server controllati dalle app vulnerabili.

“Chiunque avesse impiegato ovvero continuasse verso servirsi queste applicazioni e a rischio di sconfitta di informazioni perche potrebbe allettare un largo serie di dati, entro cui le password”, afferma Abe Baggili, collaboratore presso la attitudine di informatica del Tagliatela College of Engineering dell’corporazione del New Haven, e anche sporgenza del cFREG.

Durante Threatpost, la funzionalita dei Messaggi Diretti di Instangram permetteva di appropriarsi le rappresentazione giacche venivano condivise dagli utenti, percio maniera immagini vecchie immagazzinate sopra plain text sui server di Instagram. I ricercatori hanno osservato cosicche periodo plausibile carpire ancora certe keyword sopra HTTP, permettendo loro di sognare le informazioni condivise in mezzo a gli utenti della popolare app. Un’app di video chatting chiamata ooVoo conteneva primariamente la stessa vulnerabilita di Instagram. Sopra accaduto su presente blog abbiamo gia parlato del avvenimento che Instagram non adotta una cifratura completa.

Tre delle app gratuite di messaggistica e videochiamata, Tangi, Nimbuzz e Kik contengono dei bug che hanno permesso ai ricercatori di appropriarsi immagini, localizzazioni e video. Contro Nimbuzz epoca anche facile collocare mano sulle password degli utenti, immagazzinate durante plan text.

MeetMe, MessageMe e TextMe inviano tutte informazioni sopra fatto non criptato e con plain text perche potrebbe assegnare all’hacker la eventualita di controllare le comunicazioni degli utenti cosicche utilizzano quelle applicazioni riguardo a tranello limitato. In queste app, anche l’invio e la ricevimento di immagini, nonche la adesione della situazione geografica possono essere monitorizzate. I ricercatori sono e riusciti per vedere il file del database TextMe in quanto immagazzina le credenzilai di login dell’utente sopra plain text.

Grindr, HeyWire, Hike e TextPlus sono stati colpiti dagli stessi bug. Messaggi, ritratto e localizzazioni possono essere sottratti dai cybercriminali utilizzando strumenti semplici appena WireShark. Oltre a cio, le foto inviate insieme Grindr, HeyWire e TextPlus rimanevano nei server in plain text e disponibili durante settimane strada autenticazione.

“Grazie all’utilizzo di HeliumBackup, un backup extractor di Android, siamo riusciti ad accedere al file di backup in i messaggi di testo”, ha affermato un osservatore. “Quando abbiamo spazioso il file, abbiamo vidimazione giacche c’erano screenshot dell’attivita degli utenti giacche non avevamo scattato noi. Non sappiamo perche quelle screenshot erano li e non ragione erano immagazzinate sul dispositivo”.

Nel video fine, i ricercatori hanno convalida quail app immagazzinavano dati sensibili. Sfortunatamente, TextPlus, Nimbuzz e TextMe immagazzinavano credenziali di imbocco mediante plain text. A pezzo queste tre app, ancora MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Vox and Words With Friends immagazzinavano credenziali di entrata in plain text.

“Sebbene i dati vengano trasmessi sopra modello sicura da un fruitore all’altro, abbiamo scoperto perche le comunicazioni private possono capitare visualizzate da prossimo dacche i dati non sono criptati e l’utente bizzarro non lo sa”, ha eletto Baggili.

I ricercatori hanno provato a informare gli sviluppatori delle app con disputa, pero si sono imbattuti per formulari di contatto, non c’e stata probabilita di parlare direttamente con loro. In un’intervista coraggio e-mail, Abe Biggili non sapeva nell’eventualita che i bug individuati da lui e dal proprio team fossero stati risolti.

Falle nella #privacy sono state provocate da problemi nella #crittografia per molte app #Android popolari

Tweet

Abbiamo contattato Instagram in portare spiegazioni, pero l’azienda attraverso il situazione non ci ha al momento risposto.

https://besthookupwebsites.org/it/xmeeting-review/

Non e chiaro qualora gli sviluppatori di queste applicazioni abbiano proposito di estinguere le vulnerabilita perche abbiamo spiegato.

CNET ha contattato Instagram, Kik e Grindr. Instagram ha evidente di risiedere passando alla crittografia completa attraverso la sua app Android, e questa cambiamento risolverebbe molti problemi. Kik ha chiaro di alloggiare lavorando nella cifratura dei disegni condivisi dagli utenti, pero non delle chat per quanto sono isolate e non accessibili da altre app del telefono. Hanno eletto, oltre a cio, cosicche attuale maniera di accumulare i dati tanto moderatamente citta nel porzione. Grindr sta revisionando il report di confidenza e affinche apportera le modifiche opportune.