Un aggregazione di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha scoperchiato alcune vulnerabilita in diverse app Android quantita popolari, fra cui Instagram, Vine, OKCupid e molte altre.
Un compagnia di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha indifeso alcune vulnerabilita con diverse app Android molto popolari, entro cui Instagram, Vine, OKCupid e molte altre. I bug potrebbero sistemare durante possibilita i dati di intorno a 968 milioni di utenti giacche hanno installato le applicazioni interessate dal pensiero sui loro dispositivi Android.
Il mio collaboratore Chris Brook di Threatpost ha riportato affinche la maggior pezzo dei bug scoperti dai ricercatori (si veda una successione di monitor pubblicati verso YouTube) proveniva da singolo storage se i contenuti non venivano criptati sui server controllati dalle app vulnerabili.
“Chiunque avesse usato oppure continuasse verso impiegare queste applicazioni e per repentaglio di evasione di informazioni in quanto potrebbe riferirsi un largo frequenza di dati, fra cui le password”, afferma Abe Baggili, aiutante accosto la competenza di informatica del Tagliatela College of Engineering dell’corporazione del New Haven, inoltre superiore del cFREG.
Verso Threatpost, la funzionalita dei Messaggi Diretti di Instangram permetteva di impadronirsi le ritratto perche venivano condivise dagli utenti, simile che immagini vecchie immagazzinate in plain text sui server di Instagram. I ricercatori hanno osservato giacche eta facile impadronirsi e certe keyword riguardo a HTTP, permettendo loro di vedere le informazioni condivise tra gli utenti della comune app. Un’app di video chatting appello ooVoo conteneva in sostanza la stessa vulnerabilita di Instagram. Per passato riguardo a presente blog abbiamo appunto parlato del evento affinche Instagram non adotta una crittografia completa.
Tre delle app gratuite di messaggistica e videochiamata, Tangi, Nimbuzz e Kik contengono dei bug affinche hanno licenza ai ricercatori di impossessarsi immagini, localizzazioni e filmato. Verso Nimbuzz epoca ed fattibile sistemare direzione sulle password degli utenti, immagazzinate durante plan text.
MeetMe, MessageMe e TextMe inviano tutte informazioni con fatto non criptato e sopra plain text che potrebbe conferire all’hacker la eventualita di monitorizzare le comunicazioni degli utenti affinche utilizzano quelle applicazioni circa agguato stanza. Sopra queste app, addirittura l’invio e la ascolto di immagini, e anche la condivisione della posizione geografica possono abitare monitorizzate. I ricercatori sono anche riusciti a controllare il file del database TextMe in quanto immagazzina le credenzilai di login dell’utente durante plain text.
Grindr, HeyWire, Hike e TextPlus sono stati colpiti dagli stessi bug. Messaggi, immagine e localizzazioni possono capitare sottratti dai cybercriminali utilizzando strumenti semplici appena WireShark. Oltre a cio, le immagine wooplus si paga inviate con Grindr, HeyWire e TextPlus rimanevano nei server per plain text e disponibili in settimane via convalida.
“Grazie all’utilizzo di HeliumBackup, un backup extractor di Android, siamo riusciti ad accedere al file di backup per i messaggi di testo”, ha affermato un scienziato. “Quando abbiamo aperto il file, abbiamo vidimazione giacche c’erano screenshot dell’attivita degli utenti giacche non avevamo scattato noi. Non sappiamo motivo quelle screenshot erano li nemmeno fine erano immagazzinate sul dispositivo”.
Nel videoclip terminale, i ricercatori hanno autenticazione quail app immagazzinavano dati sensibili. Sfortunatamente, TextPlus, Nimbuzz e TextMe immagazzinavano credenziali di scatto mediante plain text. Per pezzo queste tre app, di nuovo MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Vox and Words With Friends immagazzinavano credenziali di adito con plain text.
“Sebbene i dati vengano trasmessi sopra foggia sicura da un consumatore all’altro, abbiamo aperto affinche le comunicazioni private possono risiedere visualizzate da gente dato che i dati non sono criptati e l’utente modello non lo sa”, ha eletto Baggili.
I ricercatori hanno esausto verso erudire gli sviluppatori delle app sopra controversia, ma si sono imbattuti per formulari di amicizia, non c’e stata potere di parlare di fronte insieme loro. Per un’intervista coraggio e-mail, Abe Biggili non sapeva se i bug individuati da lui e dal conveniente staff fossero stati risolti.
Falle nella #privacy sono state provocate da problemi nella #crittografia in molte app #Android popolari
Tweet
Abbiamo contattato Instagram verso portare spiegazioni, bensi l’azienda in il secondo non ci ha attualmente risposto.
Non e pallido nel caso che gli sviluppatori di queste applicazioni abbiano volonta di estinguere le vulnerabilita cosicche abbiamo detto.
CNET ha contattato Instagram, Kik e Grindr. Instagram ha manifesto di aderire passando alla crittografia completa durante la sua app Android, e questa innovazione risolverebbe molti problemi. Kik ha evidente di stare lavorando nella crittografia dei disegni condivisi dagli utenti, eppure non delle chat mediante quanto sono isolate e non accessibili da altre app del telefono. Hanno dichiarato, inoltre, affinche corrente modo di stoccare i dati tanto abbastanza citta nel porzione. Grindr sta revisionando il report di destrezza e giacche apportera le modifiche opportune.