Отчет – нарушение данных Dalil: незащищенное приложение раскрывает данные более 5 миллионов пользователей

Далил – самый большой телефонный справочник в Саудовской Аравии.

Dalil – более 13 миллионов самых популярных коммуникационных приложений в Королевстве.. Для контекста, именно здесь Viber и Telegram занимают место в США.. 96% его пользователей находятся в Саудовской Аравии; остальные находятся в Египте и других арабских странах.

Приложение работает как Truecaller, помогая пользователям идентифицировать неизвестные номера. Теоретически это обеспечивает защиту от холодных звонков и других нежелательных контактов..

Однако реальность рассказывает другую историю. Во главе с Ноамом Р., известным хакером и активистом в белой шляпе, Исследовательская группа VPNMentor обнаружила серьезное нарушение безопасности в базе данных Dalil. Вместо защиты пользователей это нарушение означает полные наборы данных для 5 миллионов пользователей открыты и доступны на весь интернет.

Разрешения приложений

Как и все приложения, Dalil имеет список запросов на разрешения, с которыми пользователи должны согласиться перед загрузкой и установкой программы. Некоторые разрешения следует ожидать; например, приложение идентификации вызывающего абонента должно читать контакты. Другие разрешения кажутся более подозрительнымиt, как чтение и изменение сохраненных файлов телефона, перенаправление вызовов и отслеживание вашего местоположения.

База данных Далила не защищена

Какими бы подозрительными ни казались некоторые разрешения, они не являются основной причиной проблем безопасности Далила.

Все пользовательские данные, собранные приложением, хранятся в незащищенной и неконтролируемой базе данных MongoDB.. Он доступен без аутентификации, предоставляя хакерам доступ без пароля к миллионам данных людей..

Как и журнал приложений, этот база данных включает как собранную, так и добровольно предоставленную личную информацию. Путь пользователя ниже показывает, сколько данных приложение может получить доступ:

По умолчанию приложение собирает пользовательские:

  • Телефонный номер
  • IP-адрес (внутренний и внешний, где это применимо)
  • Модель устройства, токен, серийный номер и операционная система
  • IMEI (специальный идентификационный номер устройства)
  • Сим-карта и информация о сетевом провайдере
  • GPS и информация о местоположении в сети

Когда пользователи создают свои профили, им предлагается добавить дополнительную информацию, включая их:

  • Личный почтовый ящик
  • Имя и фамилия
  • Пол
  • профессия

Опять таки, эти данные в настоящее время появляются в полностью открытой базе данных. Наша команда нашла это: это значит, что любой, кто хочет его искать, тоже может. И хотя наши хакеры не являются злонамеренными, мы не можем гарантировать мотивацию других.

Образец профиля

Как показано выше, приложение собирает большие объемы информации. Это позволило нам создать профиль для одного пользователя Dalil из взломанных данных. Хотя мы отредактировали любую важную идентифицирующую информацию, она показывает, насколько опасными могут быть эти данные в чужих руках..

Наряду с номером телефона пользователя, IMEI и данными сети, мы также можем увидеть много личной информации..

Когда мы перевели Unicode из базы данных на арабские буквы, мы увидели, что пользователь перечислил свою профессию как область Хаиль, область, в которой он живет. Однако, поскольку оба его адреса электронной почты перечислены, мы просто погуглили его детали. Это дало нам его профессиональный профиль в Instagram:

Когда мы искали отформатированный адрес в списке, мы нашли это место:

Это всего в двух кварталах от координат, перечисленных во время его последнего использования, рисуя очень точную картину того, где этот пользователь может быть найден:

Проблемы с безопасностью

Это представляет две различные проблемы безопасности.

В первую очередь: целевое рекламное и вредоносное ПО. Хотя база данных защищает некоторые данные (например, хэши паролей пользователей), доступная информация позволяет нам создавать довольно точные профили пользователей..

Если содержимое этой базы данных было продано сторонним рекламодателям (или правительствам и террористическим организациям в темной сети), знание пола, профессий и местоположений пользователей может позволить им создавать целевую рекламу (или враждебные действия).

Кроме того, что еще более тревожно, знание точной марки и модели телефонов пользователей, а также их операционных систем позволяет высокоспецифичное размещение вредоносных программ. Это может привести к огромным личным и финансовым потерям для миллионов пользователей в Саудовской Аравии, Египте и других странах, где популярен Dalil..

Есть еще одна, гораздо более темная причина, по которой незащищенная база данных Далила потенциально настолько опасна. В Саудовской Аравии действуют самые строгие в мире законы о цензуре., которые распространяются на мониторинг и цензуру телефонных звонков через утвержденные приложения. Если эта база данных попадет в Руки правительства Саудовской Аравии, они могли легко идентифицировать пользователей по их номерам телефонов и слушать их телефонные разговоры.

Это поднимает два красных флага. Во-первых, разрешения позволяют приложению перенаправлять вызовы. Телефонные звонки автоматически фильтруются через разрешенное приложение, которое позволяет саудовским чиновникам прослушивать.

Приложение также имеет разрешение на «поиск учетных записей на устройстве». Как показано в профиле пользователя ниже, приложение собирает информацию о пользовательских профилях Viber. Viber Ракутена разрешен в Королевстве, что означает он подвержен наблюдению.

Кроме того, приложение разрешения разрешают доступ к сохраненным медиа-файлам устройства и полученным текстовым сообщениям. Несмотря на то, что мы не нашли никаких изображений, видео или текстов в базе данных, возможно, эти файлы хранятся в другом месте и могут быть взломаны.

Мы обнаружили, что Приложение также записывает поиски, сделанные через него. Хотя номер телефона контакта был зашифрован в базе данных, имена контактов, которые ищет пользователь, записываются.

Строгая цензура в сочетании с возможностью отслеживания местоположений пользователей (опять же, из-за разрешений приложения) может означать серьезные последствия для тех, кто пойман в нарушение законов Саудовской Аравии. Если правительство Саудовской Аравии получит доступ к этой базе данных, люди, чьи профессии оставляют их открытыми для мониторинга, могут столкнуться с реальной опасностью.

Например, должен ли журналист найти и поговорить с контактом и договориться о встрече, правительство может теоретически определить этот контакт. Это особенно вероятно, если контакт был сохранен с идентификатором (например, «Боб – Пицца» или «Софи – Работа»), и учитывая, что 15% населения Саудовской Аравии использует Далил.

Разрешения приложения на местоположение означают, что должностные лица могут отслеживать журналиста (и их контакты). Они могли последовать за ним на встречу, выслушать все, что сообщалось, и немедленно арестовать его.

Этический взлом и заключение

Мы обнаружили это нарушение в результате проекта веб-картографии. Наш хакер использует сканирование портов для проверки определенных IP-блоков и тестирования уязвимостей на наличие уязвимостей. Они проверяют каждую дыру на предмет утечки данных. В таком случае, они установили приложение и ввели свои собственные данные. Это позволило им подтвердить, что их данные просочились, и личность базы данных.

Мы связались с Далилом, чтобы предупредить их об этом нарушении безопасности. Наша информация включала дату, на которую мы планировали опубликовать эту статью, и дала им несколько дней, чтобы найти и обезопасить свою базу данных, прежде чем эти знания станут общедоступными. На момент публикации мы еще не получили ответ от них. Поскольку хакеры, очевидно, могут найти эту базу данных в Интернете – и, возможно, уже – важно поделиться нашими результатами с общественностью чтобы они могли принять соответствующие меры для защиты своих данных.

После того, как мы сообщили о проблеме Далилу (и до того, как опубликовали этот отчет), мы также заметили, что, хотя некоторые данные на сервере шифровались, но новые данные были незашифрованы при регистрации. Это показывает, что по крайней мере один злоумышленник получил доступ к данным пользователя Далила. Мы призываем Далила самым решительным образом действовать быстро и защищать своих пользователей..

Урок здесь ясен: популярность не равна надежности. Необеспеченная база данных Далила является доказательством того, что пользователи должны быть осторожны при согласии с разрешениями приложения и доверять неизвестным лицам их личную информацию, так как даже самые уважаемые приложения делают ошибки.

Прошлые отчеты

Вы также можете прочитать наш отчет о поддельных приложениях, используемых в Иране для мониторинга пользователей, отчет об утечках VPN и отчет о конфиденциальности данных..

Пожалуйста, поделитесь этим отчетом на Facebook или оставьте его в твиттере.