비디오: Every Team's Best Play of Week 10 | NFL 2020 Highlights (십월 2024)
라스베가스의 부인들은 이번 슈퍼 볼 일요일에 시애틀 시호크와 뉴 잉글랜드 애국자를 지켜보고 있지만, 블랙 햇 해커들은 오늘 모바일 보안 회사가 팬들의 안드로이드 기기에서 개인 데이터를 수집하는 데 더 관심이있을 수 있다고 경고했다.
Wandera는 권고 자들은 공격자들이 인기있는 NFL 모바일 앱의 심각한 취약점을 악용하기 위해 MITM (Man-in-the-Middle) 공격을 시작할 수 있다고 조언했다. 한 회사 대변인은 SecurityWatch 에 문제가 해결되지 않은 채 있다고 말했다.
Eldar Tuvey의 CEO 인 Eldar Tuvey는“쿼터백이 가로 채기에 취약한 것처럼 NFL 앱은 사용자 데이터를 해커에 의한 가로 채기의 위험에 빠뜨리는 MITM (Man-in-the-Middle) 공격에 취약하다는 것은 아이러니하다. 완 더라
암호화되지 않은 통화 유출 사용자 정보
이 응용 프로그램은 사용자가 NFL.com 자격 증명으로 안전하게 로그인해야하지만 암호화되지 않은 보조 API 호출에서 사용자 이름과 암호를 유출합니다. 사용자 이름과 이메일 주소는 로그인 후 즉시 nfl.com에 전화 할 때 암호화되지 않은 쿠키에 저장됩니다. 공격자는 자격 증명을 사용하여 nfl.com에서 사용자의 전체 프로필에 액세스 할 수 있습니다. 프로필 페이지는 암호화되지 않으므로 공격자는 중간자 공격을 사용하여 페이지의 데이터를 가로 챌 수 있습니다.
"이 회사는 뉴 잉글랜드 애국자와 시애틀 시호크스 사이에서 시즌 최대의 게임을 앞두고 사용자가 앱에 액세스 할 가능성이 높을 때이 위험이 특히 높다"고 권고했다.
보안 팀이이 분석 중에 사이트에서 NFL 브랜드 상품을 구매하려고 시도하지 않았으므로이 시점에서 저장된 신용 카드 정보가 공격자에게 보이는지 확실하지 않습니다. NFL Now 및 NFL Fantasy Football과 같은 다른 NFL 앱에도 동일한 결함이 있는지 확실하지 않습니다.
당분간 NFL 앱이 아닌 웹 사이트를 통해 Super Bowl 수정 프로그램을 받으십시오. 자신을 위험에 빠뜨리지 마십시오.
앱을 사용하는 사용자에게 위험
암호 재사용은 여전히 큰 문제이므로 다른 계정과 동일한 전자 메일 / 암호 조합을 사용하는 사용자는 해당 계정이 손상 될 수 있다고 Wandera는 경고했습니다. 생년월일, 성명, 이메일 및 우편 주소, 직업, TV 제공 업체, 성별 및 전화 번호와 같은 프로필 정보는 신원 도용, 피싱 및 사회 공학에 사용될 수 있습니다.
"생년월일, 이름, 주소 및 전화 번호는 NFL 팬들로부터 신분 도용을 시작하는 데 필요한 정확한 구성 요소입니다"라고 Tuvey는 말했습니다.
다른 사이트, 특히 은행 및 전자 메일과 같은 민감한 사이트에서 동일한 암호를 사용하는 경우 즉시 변경하십시오.
범죄자들은 과거에 프로 스포츠 사이트와 앱을 목표로 삼았습니다. NFL 팬들은 2013 년 가짜 Facebook 페이지에서 Zeus 악성 코드를 제공하는 사이트에 대한 악성 링크를 클릭하도록 속였습니다. MLB.com의 악성 S는 2012 년에 의심받지 않은 방문자에게 가짜 안티 바이러스를 제공했습니다. McAfee 연구원은 2012 년에 SMS 메시지를 가로 채고 봇넷에 연결된 장치를 연결했습니다.
사이버 공격자들은 또한 인기있는 이벤트와 뉴스가 많은 항목을 대상으로하여 악성 프로그램을 확산시키고 피싱 공격을 실행하는 것을 좋아합니다. 이러한 공격은 최신 정보와 업데이트를 찾는 사람들을 이용합니다. OpenDNS는 이달 초 BBC 뉴스를 흉내 내고 Charlie Hebdo의 총격 사건에 대한 잘못된 정보를 제공하는 웹 사이트를 식별했습니다. 런던과 소치 올림픽뿐만 아니라 과거 슈퍼 볼 게임을 대상으로 한 스팸 및 맬웨어 캠페인이 여러 차례있었습니다. Miami Dolphins에 속한 웹 사이트는 2007 년 Super Bowl 이전에 최소 일주일 동안 맬웨어를 제공했습니다.
