Un compagnia di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha scoperto alcune vulnerabilita in diverse app Android tanto popolari, fra cui Instagram, Vine, OKCupid e molte altre.
Un gruppo di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha scoperto alcune vulnerabilita mediante diverse app Android tanto popolari, fra cui Instagram, Vine, OKCupid e molte altre. I bug potrebbero mettere in minaccia i dati di approssimativamente 968 milioni di utenti affinche hanno installato le applicazioni interessate dal pensiero sui loro dispositivi Android.
Il mio socio Chris Brook di Threatpost ha riportato affinche la maggior brandello dei bug scoperti dai ricercatori (si veda una successione di schermo pubblicati verso YouTube) proveniva da ciascuno storage se i contenuti non venivano criptati sui server controllati dalle app vulnerabili.
“Chiunque avesse adibito ovvero continuasse verso adoperare queste applicazioni e per rischio di fuga di informazioni cosicche potrebbe interessare un largo ventola di dati, con cui le password”, afferma Abe Baggili, aiutante presso la idoneita di informatica del Tagliatela College of Engineering dell’Universita del New Haven, tanto piu superiore del cFREG.
Verso Threatpost, la efficienza dei Messaggi Diretti di Instangram permetteva di rubare le immagine che venivano condivise dagli utenti, dunque come immagini vecchie immagazzinate per plain text sui server di Instagram. I ricercatori hanno osservato che epoca facile appropriarsi anche certe keyword verso HTTP, permettendo loro di sognare le informazioni condivise con gli utenti della cittadino app. Un’app di videoclip chatting attitudine ooVoo conteneva in sostanza la stessa gratis sesso incontri musulmani vulnerabilita di Instagram. In anteriore contro corrente blog abbiamo gia parlato del prodotto perche Instagram non adotta una crittografia completa.
Tre delle app gratuite di messaggistica e videochiamata, Tangi, Nimbuzz e Kik contengono dei bug affinche hanno autorizzazione ai ricercatori di appropriarsi immagini, localizzazioni e monitor. Contro Nimbuzz era anche possibile apporre mano sulle password degli utenti, immagazzinate con plan text.
MeetMe, MessageMe e TextMe inviano tutte informazioni sopra istruito non criptato e sopra plain text che potrebbe riconoscere all’hacker la capacita di osservare le comunicazioni degli utenti in quanto utilizzano quelle applicazioni contro insidia ambiente. Durante queste app, ed l’invio e la ascolto di immagini, come la condivisione della atteggiamento geografica possono essere monitorizzate. I ricercatori sono e riusciti a vedere il file del archivio elettronico TextMe che immagazzina le credenzilai di login dell’utente durante plain text.
Grindr, HeyWire, Hike e TextPlus sono stati colpiti dagli stessi bug. Messaggi, fotografia e localizzazioni possono succedere sottratti dai cybercriminali utilizzando strumenti semplici mezzo WireShark. Per di piu, le fotografia inviate insieme Grindr, HeyWire e TextPlus rimanevano nei server per plain text e disponibili attraverso settimane via convalida.
“Grazie all’utilizzo di HeliumBackup, un backup extractor di Android, siamo riusciti ad accedere al file di backup durante i messaggi di testo”, ha dichiarato un osservatore. “Quando abbiamo ampio il file, abbiamo vidimazione in quanto c’erano screenshot dell’attivita degli utenti affinche non avevamo scattato noi. Non sappiamo perche quelle screenshot erano in quel luogo neanche perche erano immagazzinate sul dispositivo”.
Nel schermo terminale, i ricercatori hanno convalida quail app immagazzinavano dati sensibili. Purtroppo, TextPlus, Nimbuzz e TextMe immagazzinavano credenziali di imbocco con plain text. A parte queste tre app, e MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Vox and Words With Friends immagazzinavano credenziali di apertura sopra plain text.
“Sebbene i dati vengano trasmessi sopra aspetto sicura da un utente all’altro, abbiamo indifeso giacche le comunicazioni private possono capitare visualizzate da gente perche i dati non sono criptati e l’utente prototipo non lo sa”, ha manifesto Baggili.
I ricercatori hanno misurato per informare gli sviluppatori delle app per disputa, eppure si sono imbattuti in formulari di contiguita, non c’e stata probabilita di conversare direttamente unitamente loro. Durante un’intervista cammino e-mail, Abe Biggili non sapeva nel caso che i bug individuati da lui e dal suo equipe fossero stati risolti.
Falle nella #privacy sono state provocate da problemi nella #crittografia in molte app #Android popolari
Tweet
Abbiamo contattato Instagram durante avere spiegazioni, pero l’azienda attraverso il secondo non ci ha al momento risposto.
Non e leggero se gli sviluppatori di queste applicazioni abbiano intento di sistemare le vulnerabilita affinche abbiamo esposto.
CNET ha contattato Instagram, Kik e Grindr. Instagram ha dichiarato di risiedere passando alla cifratura completa verso la sua app Android, e questa correzione risolverebbe molti problemi. Kik ha dichiarato di risiedere lavorando nella cifratura dei disegni condivisi dagli utenti, tuttavia non delle chat con quanto sono isolate e non accessibili da altre app del telefono. Hanno eletto, inoltre, giacche attuale prassi di raccogliere i dati come moderatamente citta nel porzione. Grindr sta revisionando il report di abilita e in quanto apportera le modifiche opportune.