Извештај – Кршење података Далила: 5+ милиона података корисника који су изложени од стране незаштићене апликације
Далил је највећи телефонски именик у Саудијској Арабији.
Са више од 5 милиона преузимања, Далил је 13. најпопуларнија апликација за комуникацију у Краљевини. У контексту, Вибер и Телеграм су овде у САД-у. 96% корисника је у Саудијској Арабији; остатак су у Египту и другим арапским земљама.
Тхе апп функционише као Труецаллер, помажући корисницима да препознају непознате бројеве. Теоретски, ово пружа заштиту од хладних позива и других нежељених додира.
Међутим, стварност прича другачију причу. Водио га је Ноам Р., познати хакерски активиста и активиста, Истраживачки тим ВПНМентора открио је велику повреду сигурности у Далиловој бази података. Уместо да штити кориснике, ово кршење значи потпуни сетови података за 5 милиона + корисника су отворени и доступни на цео Интернет.
Дозволе апликација
Као и све апликације, Далил има листу дозвола које корисници морају пристати прије преузимања и инсталирања програма. Треба очекивати нека дозвола; на пример, апликација ИД позиваоца мора да чита контакте. Остала допуштења изгледају сумњичавијет, попут читања и измене сачуваних датотека на вашем телефону, преусмеравања позива и праћења локације.
Далилова база података није обезбеђена
Колико год се чинила сумњива нека дозвола, они нису основни узрок Далилових безбедносних проблема.
Сви кориснички подаци прикупљени помоћу апликације се чувају у незаштићеној и ненадзорованој МонгоДБ бази података. Доступан је без аутентификације, пружајући хакерима приступ без лозинке милионима података људи.
Као и дневник апликација, ово база података укључује прикупљене и добровољно поднете личне податке. Корисничко путовање у наставку приказује колико података апликација може приступити:
Апликација подразумевано прикупља кориснике:
- Број мобилног
- ИП адреса (по потреби интерна и екстерна)
- Модел уређаја, токен, серијски број и оперативни систем
- ИМЕИ (специфични идентификациони број уређаја)
- Информације о СИМ картици и добављачу мреже
- Информације о локацији ГПС-а и мреже
Када корисници креирају своје профиле, од њих ће се тражити да додају додатне информације, укључујући и њихове:
- Лични налог е-поште
- Име и презиме
- Пол
- Професија
Опет, ови подаци се тренутно појављују у потпуно отвореној бази података. Наш тим је пронашао: то значи да би и свако ко је желео да га потражи. И док наши хакери нису злонамерни, не можемо гарантовати туђу мотивацију.
Пример узорка
Као што је горе показано, апликација прикупља велике количине информација. То нам је дозволило створите профил за једног Далиловог корисника из хакованих података. Иако смо редиговали све кључне идентификационе информације, они показују колико су ти подаци могли бити погрешни у погрешним рукама.
Као и телефонски број корисника, ИМЕИ и мрежни подаци, можемо видети и доста личних података.
Када смо пренијели Уницоде из базе података на арапско писмо, корисник је видео своју професију као регију Ха’ил, област у којој живи. Међутим, како су наведене његове адресе е-поште, његове детаље смо једноставно у Гооглу. То нам је дао његов професионални Инстаграм профил:
Када смо потражили наведену форматирану адресу, пронашли смо ову локацију:
То су само два блока од координата наведених у време његове последње употребе, сликајући врло тачну слику где се овај корисник може наћи:
Безбедносна питања
Ово представља два различита сигурносна питања.
Прво: циљани адваре и малваре. Иако база података штити неке податке (на пример, корисничке лозинке се распршују), расположиве информације омогућавају нам да креирамо прилично тачне корисничке профиле.
Ако би се садржај ове базе продао оглашивачима трећих страна (или владама и терористичким организацијама у мрачном вебу), знање о родовима, занимањима и локацијама корисника могло би им омогућити да креирају циљане огласе (или непријатељске радње).
Уз то, и још забрињавајуће, омогућава прецизно познавање марке и модела телефона корисника, као и њихових оперативних система високо специфичан пласман малваре-а. Ово би могло створити огроман лични и финансијски губитак за милионе корисника широм Саудијске Арабије, Египта и других земаља у којима је Далил популаран.
Постоји још један, далеко мрачнији разлог што је Далилова незаштићена база података потенцијално толико опасна. Саудијска Арабија има неке од најстрожих свјетских закона о цензури, који се протежу на надгледање и цензуру телефонских позива упућених преко одобрених апликација. Уколико ова база података падне на Рукама Саудијске владе, они су лако препознали кориснике по бројевима телефона и слушали њихове телефонске разговоре.
Ово подиже две црвене заставе. Прво, дозволе омогућавају апликацији да преусмерава позиве. Телефонски позиви се аутоматски филтрирају кроз дозвољену апликацију, која саудијским званичницима омогућава преслушавање.
Апликација такође има дозволу за „проналазак налога на уређају“. Као што је приказано у корисничком профилу испод, апликација сакупља информације о корисничким Вибер профилима. Ракутенов Вибер је дозвољен у Краљевини, што значи подложан је надзору.
Уз то, апликација дозволе омогућавају приступ сачуваним медијским датотекама уређаја и примљеним текстуалним порукама. Иако у бази података нисмо пронашли никакве слике, видео снимке или текстове, могуће је да се те датотеке чувају на другом месту и могу да се хакују.
Открили смо да апликација такође биљежи претраге извршене путем ње. Иако је телефонски број контакта шифриран у бази података, бележе се имена контаката које корисник тражи.
Строга цензура у комбинацији са могућношћу праћења локација корисника (опет, због дозвола апликације) може значити тешке последице за свакога ко је ухваћен у супротности са законима Саудијске Арабије. Ако влада Саудијске Арабије приступи овој бази података, људи чија их професија оставља отворена за надгледање могли би да доживе стварне опасности.
На пример, треба ли новинар тражити – и разговарати – контакт и договорити састанак, влада би теоретски могла да идентификује тај контакт. Ово је посебно вероватно ако је контакт сачуван са идентификатором (као што је „Боб – Пизза“ или „Сопхие – Ворк“), и имајући у виду да 15% становништва Саудијске Арабије користи Далил.
Дозволе за локацију апликације значе да би службеници могли да пронађу новинаре (и њихов контакт). Могли су га пратити на састанку, преслушати све што је извештено и одмах га ухапсити.
Етичко хакирање и закључак
Открили смо ову повреду као резултат пројекта веб мапирања. Наш хакер користи скенирање портова за испитивање одређених ИП блокова и тестирање отворених рупа у системима за слабости. Они прегледавају сваку рупу ради откривања података. У овом случају, инсталирали су апликацију и унели своје податке. То им је омогућило да потврде обоје да су њихови подаци процурили, и идентитет базе података.
Контактирали смо Далила како бисмо их упозорили на ово кршење сигурности. Наши подаци су укључивали датум на који смо планирали да објавимо овај чланак и дали смо им неколико дана да пронађу и осигурају своју базу података пре него што та сазнања постану јавна. У време објављивања, још се нисмо чули од њих. Како хакери очигледно могу да пронађу ову базу података на мрежи – а можда је већ имају – важно је да своја сазнања поделимо са јавношћу па могу предузети одговарајуће мере заштите својих података.
Након што смо проблем пријавили Далилу (и пре него што смо објавили овај извештај), такође смо приметили да се неки подаци на серверу шифрују, али када су логирани нови подаци нису шифровани. То показује да је најмање један злонамерни актер приступио Далиловим корисничким подацима. Позивамо Далила у најјачим могућим условима да поступа брзо и штити своје кориснике.
Поука је овде јасна: популарност није једнака поузданости. Далилова неосигурана база података је доказ тога корисници морају бити опрезни када пристају на дозволе апликација и поверавању непознатих ентитета њиховим личним подацима, чак и најгледаније апликације праве грешке.
Прошли извјештаји
Такође бисте желели да прочитате наш извештај о лажним апликацијама које се у Ирану користе за надгледање корисника, Извештај о пропуштању ВПН-а и Извештај о статистици података о приватности..
Молимо да поделите овај извештај на Фацебооку или га твитујте.
Damian
17.04.2023 @ 21:46
Жао ми je da čujem da je Dalil, najveći telefonski imenik u Saudijskoj Arabiji, doživeo veliku povredu sigurnosti. Iako je aplikacija imala više od 5 miliona preuzimanja i bila 13. najpopularnija aplikacija za komunikaciju u Kraljevini, činjenica da su svi korisnički podaci bili dostupni na internetu bez ikakve zaštite je veoma zabrinjavajuća. Ovo je primer kako čak i aplikacije koje se koriste za zaštitu od neželjenih poziva i poruka mogu biti ranjive na hakerske napade. Nadam se da će se ovo pitanje rešiti i da će se u budućnosti više pažnje posvetiti sigurnosti korisničkih podataka.