Un compagnia di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha scoperchiato alcune vulnerabilita sopra diverse app Android quantita popolari, entro cui Instagram, Vine, OKCupid e molte altre.
Un unione di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’universita del New Haven ha scoperchiato alcune vulnerabilita durante diverse app Android quantita popolari, frammezzo a cui Instagram, Vine, OKCupid e molte altre. I bug potrebbero appoggiare durante possibilita i dati di intorno a 968 milioni di utenti che hanno installato le applicazioni interessate dal incognita sui loro dispositivi Android.
Il mio collaboratore Chris Brook di Threatpost ha riportato in quanto la maggior pezzo dei bug scoperti dai ricercatori (si veda una sequenza di filmato pubblicati contro YouTube) proveniva da ciascuno storage se i contenuti non venivano criptati sui server controllati dalle app vulnerabili.
“Chiunque avesse portato ovvero continuasse verso adoperare queste applicazioni e a repentaglio di fuga di informazioni che potrebbe allettare un ricco serie di dati, con cui le password”, afferma Abe Baggili, collaboratore vicino la competenza di informatica del Tagliatela College of Engineering dell’Universita del New Haven, e anche responsabile del cFREG.
Per Threatpost, la efficienza dei Messaggi Diretti di Instangram permetteva di impadronirsi le fotografia giacche venivano condivise dagli utenti, percio come immagini vecchie immagazzinate con plain text sui server di Instagram. I ricercatori hanno osservato perche epoca facile impossessarsi addirittura certe keyword su HTTP, permettendo loro di vedere le informazioni condivise entro gli utenti della popolare app. Un’app di videoclip chatting chiamata ooVoo conteneva essenzialmente la stessa vulnerabilita di Instagram. Mediante accaduto circa presente blog abbiamo precisamente parlato del atto perche Instagram non adotta una cifratura completa.
Tre delle app gratuite di messaggistica e videochiamata, Tangi, Nimbuzz e Kik contengono dei bug affinche hanno concesso ai ricercatori di appropriarsi immagini, localizzazioni e schermo. Verso Nimbuzz era di nuovo possibile sistemare mano sulle password degli utenti, immagazzinate mediante plan text.
MeetMe, MessageMe e TextMe inviano tutte informazioni per estensione non criptato e con plain text affinche potrebbe accordare all’hacker la probabilita di monitorizzare le comunicazioni degli utenti che utilizzano quelle applicazioni contro rete ambiente. Con queste app, di nuovo l’invio e la ricezione di immagini, pure la complicita della postura geografica possono succedere monitorizzate. I ricercatori sono anche riusciti per sognare il file del database TextMe affinche immagazzina le credenzilai di login dell’utente sopra plain text.
Grindr, HeyWire, Hike e TextPlus sono stati colpiti dagli stessi bug. Messaggi, ritratto e localizzazioni possono succedere sottratti dai cybercriminali utilizzando strumenti semplici che WireShark. Oltre a cio, le foto inviate per mezzo di Grindr, HeyWire e TextPlus rimanevano nei server in plain text e disponibili per settimane strada autenticazione.
“Grazie all’utilizzo di HeliumBackup, un backup extractor di Android, siamo riusciti ad accedere al file di backup durante i messaggi di testo”, ha evidente un ricercatore. “Quando abbiamo spazioso il file, abbiamo vidimazione cosicche c’erano screenshot dell’attivita degli utenti perche non avevamo scattato noi. Non sappiamo affinche quelle screenshot erano in quel luogo e non perche erano immagazzinate sul dispositivo”.
Nel schermo chiusa, i ricercatori hanno controllo quail app immagazzinavano dati sensibili. Sfortunatamente, TextPlus, Nimbuzz e TextMe immagazzinavano credenziali di scatto mediante plain text. A pezzo queste tre app, ancora MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Vox and Words With Friends immagazzinavano credenziali di scatto durante plain text.
“Sebbene i dati vengano trasmessi per modello sicura da un consumatore all’altro, abbiamo scoperchiato che le comunicazioni private possono risiedere visualizzate da gente poiche i dati non sono criptati e l’utente eccentrico non lo sa”, ha dichiarato Baggili.
I ricercatori hanno stremato per conformare gli sviluppatori delle app durante litigio, eppure si sono imbattuti durante formulari di accostamento, non c’e stata potere di inveire subito unitamente loro. Per un’intervista inizio e-mail, Abe Biggili non sapeva nell’eventualita che i bug individuati da lui e dal conveniente staff fossero stati risolti.
Falle nella #privacy sono state provocate da problemi nella #crittografia durante molte app #Android popolari
Tweet
Abbiamo contattato Instagram durante portare spiegazioni, ciononostante l’azienda in il periodo non ci ha ora risposto.
Non e lucente nell’eventualita che gli sviluppatori di queste applicazioni abbiano piano di risolvere le vulnerabilita perche abbiamo spiegato.
CNET ha contattato Instagram, Kik e Grindr. Instagram ha affermato di aderire passando alla cifratura completa a causa di la sua app Android, e questa innovazione risolverebbe molti problemi. Kik ha affermato di trattenersi lavorando nella codice dei disegni condivisi dagli utenti coppie incontri poliamorosi, tuttavia non delle chat durante quanto sono isolate e non accessibili da altre app del telefono. Hanno chiaro, per di piu, che questo sistema di raccogliere i dati non solo a sufficienza ordinario nel porzione. Grindr sta revisionando il report di fiducia e in quanto apportera le modifiche opportune.