Raport – încălcarea datelor Dalil: 5 milioane de date ale utilizatorilor expuse de aplicația nesecurizată
Dalil este cel mai mare director de telefon din Arabia Saudită.
Cu mai mult de 5 milioane de descărcări, Dalil este a 13-a cea mai populară aplicație de comunicații din Regat. Pentru context, aici se situează Viber și Telegram în SUA. 96% dintre utilizatorii săi sunt în Arabia Saudită; restul sunt în Egipt și în alte țări arabe.
Aplicația funcționează ca Truecaller, ajutând utilizatorii să identifice numere necunoscute. În teorie, acest lucru oferă protecție împotriva apelanților și a altor contacte nedorite.
Cu toate acestea, realitatea spune o altă poveste. Condusă de Noam R., un cunoscut hacker și activist al pălăriei albe, Echipa de cercetare VPNMentor a descoperit o încălcare importantă în securitate în baza de date Dalil. În loc să protejeze utilizatorii, această încălcare înseamnă seturi complete de date pentru 5 milioane de utilizatori + sunt deschise și accesibile la intregul internet.
Permisiunile aplicatiei
La fel ca toate aplicațiile, Dalil are o listă de permisiuni pe care utilizatorii trebuie să le acorde înainte de a descărca și instala programul. Sunt de așteptat unele permisiuni; de exemplu, o aplicație de identificare a apelantului trebuie să citească persoane de contact. Alte permisiuni par mai suspectet, cum ar fi citirea și modificarea fișierelor stocate ale telefonului, redirecționarea apelurilor și urmărirea locației dvs..
Baza de date Dalil nu este garantată
Oricât de suspect pot părea unele permisiuni, acestea nu sunt cauza principală a problemelor de securitate ale Dalil.
Toate datele utilizatorului colectate de aplicație sunt stocate într-o bază de date MongoDB nesecurizată și neobservată. Este accesibilă fără autentificare, oferind hackerilor acces fără parolă la datele a milioane de persoane.
La fel ca și jurnalul de aplicații, acest lucru baza de date include atât informații personale recoltate, cât și transmise voluntar. Călătoria utilizatorului de mai jos arată câte date poate avea acces aplicația:
În mod implicit, aplicația colectează utilizatorii:
- Număr de telefon
- Adresa IP (internă și externă, dacă este cazul)
- Modelul dispozitivului, jetonul, numărul de serie și sistemul de operare
- IMEI (numărul de identificare specific al dispozitivului)
- Cardul Sim și informațiile furnizorului de rețea
- GPS și informații despre locația rețelei
Când utilizatorii își creează profilurile, li se solicită să adauge informații suplimentare, inclusiv:
- Cont personal de e-mail
- Numele și prenumele
- Sex
- Profesie
Din nou, aceste date apar în prezent pe o bază de date complet deschisă. Echipa noastră a găsit-o: asta înseamnă că orice altcineva care dorește să o caute ar putea, de asemenea. Deși hackerii noștri nu sunt răuvoitori, nu putem garanta motivațiile altora.
Profilul probei
După cum s-a demonstrat mai sus, aplicația colectează cantități mari de informații. Acest lucru ne-a permis creați un profil pentru un utilizator Dalil din datele piratate. În timp ce am redat orice informație de identificare crucială, aceasta arată cât de periculoase ar putea fi aceste date în mâinile greșite.
Pe lângă numărul de telefon al utilizatorului, IMEI și datele din rețea, putem vedea, de asemenea, o mulțime de informații personale.
Când am tradus Unicode din baza de date în scrisuri arabe, vedem că utilizatorul a listat profesia sa ca Regiunea Ha’il, zona în care locuiește. Cu toate acestea, pe măsură ce ambele adrese de e-mail sunt enumerate, pur și simplu am mers la detaliile lui. Acest lucru ne-a oferit profilul său profesional de Instagram:
Când am căutat adresa listată în format, am găsit această locație:
La doar două blocuri de pe coordonatele enumerate la momentul ultimei utilizări, sunt pictate o imagine foarte exactă a locului în care se poate găsi acest utilizator:
Probleme de securitate
Aceasta prezintă două probleme de securitate distincte.
In primul rand: adware și malware vizate. În timp ce baza de date protejează unele date (de exemplu, parolele utilizatorului sunt șterse), informațiile disponibile ne permit crearea unor profiluri de utilizator destul de precise.
Dacă conținutul acestei baze de date ar fi vândut unor agenți de publicitate terți (sau guvernelor și organizațiilor teroriste din web-ul întunecat), cunoașterea sexelor, profesiilor și locațiilor utilizatorilor le-ar putea permite să creeze anunțuri vizate (sau acte ostile).
În plus, și mai îngrijorător, cunoașterea mărcii și modelului precis al telefoanelor utilizatorilor, precum și a sistemelor de operare ale acestora, permite plasare malware foarte specifică. Acest lucru ar putea crea pierderi personale și financiare enorme pentru milioane de utilizatori din Arabia Saudită, Egipt și alte țări în care Dalil este popular.
Există un alt motiv, mult mai întunecat, pentru că baza de date nesigură a lui Dalil este potențial atât de periculoasă. Arabia Saudită are unele dintre cele mai stricte legi de cenzură din lume, care se extind la monitorizarea și cenzurarea apelurilor telefonice efectuate prin aplicații aprobate. Dacă această bază de date se încadrează în Mâinile guvernului saudit, aceștia puteau identifica ușor utilizatorii după numerele lor de telefon și le pot asculta conversațiile telefonice.
Acest lucru ridică două steaguri roșii. În primul rând, permisiunile permit aplicației să reorienteze apelurile. Apelurile telefonice sunt filtrate automat printr-o aplicație permisă, ceea ce permite oficialilor saudiți să asculte.
Aplicația are, de asemenea, permisiunea de a „găsi conturi pe dispozitiv”. După cum se arată în profilul utilizatorului de mai jos, aplicația colectează informații despre profilurile Viber ale utilizatorilor. Viberul lui Rakuten este permis în Regat, adică este susceptibil de supraveghere.
În plus, aplicația permisiunile permit accesul la fișierele media stocate ale dispozitivului și la mesajele text primite. Deși nu am găsit imagini, videoclipuri sau texte în baza de date, este posibil ca aceste fișiere să fie stocate în altă parte și pot fi, de asemenea, hacked.
Am descoperit că aplicația înregistrează, de asemenea, căutările efectuate prin intermediul acesteia. Deși numărul de telefon al contactului a fost criptat în baza de date, numele de contacte pe care le caută utilizatorul sunt înregistrate.
O cenzură strictă, combinată cu capacitatea de a urmări locațiile utilizatorilor (din nou, din cauza permisiunilor aplicației) ar putea însemna consecințe grave pentru oricine este prins contravențional legilor Arabiei Saudite. În cazul în care guvernul Arabiei Saudite accesează această bază de date, persoanele ale căror profesii le lasă deschise monitorizării ar putea întâmpina pericole reale.
De exemplu, un jurnalist ar trebui să caute – și să vorbească – un contact și să se aranjeze să se întâlnească, guvernul putea identifica teoretic acest contact. Acest lucru este probabil mai ales dacă contactul a fost salvat cu un identificator (cum ar fi „Bob – Pizza” sau „Sophie – Work”) și dat fiind faptul că 15% din populația Arabiei Saudite folosește Dalil.
Permisiunile de locație ale aplicației înseamnă că oficialii ar putea urmări jurnalistul (și contactul lor). Îl puteau urmări la o întâlnire, asculta tot ce se raporta și îl aresta imediat.
Hacking etic și concluzie
Am descoperit această încălcare ca urmare a unui proiect de mapare web. Hackerul nostru folosește scanarea porturilor pentru a examina anumite blocuri IP și pentru a testa golurile deschise ale sistemelor pentru deficiențe. Aceștia examinează fiecare gaură pentru a se scurge datele. În acest caz, au instalat aplicația și au introdus propriile date. Acest lucru le-a permis să confirme ambele date ale acestora, și identitatea bazei de date.
Am contactat Dalil pentru a le avertiza în legătură cu această încălcare de securitate. Informațiile noastre includeau data la care intenționam să publicăm acest articol și le oferim câteva zile pentru a găsi și asigura securitatea bazei de date înainte ca aceste cunoștințe să devină publice. La data publicării, încă nu ne auzisem de la ei. Întrucât hackerii pot găsi, în mod evident, această bază de date online – și poate au deja – este important să împărtășim concluziile noastre cu publicul astfel încât să poată lua măsurile adecvate pentru a-și proteja datele.
După ce am raportat problema lui Dalil (și înainte de a publica acest raport), am observat, de asemenea, că în timp ce unele date de pe server erau criptate, dar datele noi au fost necriptate la conectare. Acest lucru arată că cel puțin un actor rău intenționat a accesat datele utilizatorilor lui Dalil. Îl îndemnăm pe Dalil în termeni cât mai puternici să acționeze rapid și să-și protejeze utilizatorii.
Lecția de aici este clară: popularitatea nu este egală cu încrederea. Baza de date nesigură a lui Dalil este o dovadă că utilizatorii trebuie să fie atenți atunci când acceptă permisiunile pentru aplicații și încredințând entităților necunoscute informațiile lor personale, deoarece chiar și cele mai apreciate aplicații fac greșeli.
Rapoarte anterioare
De asemenea, poate doriți să citiți raportul nostru despre aplicațiile false utilizate în Iran pentru a monitoriza utilizatorii, Raportul privind scurgerea VPN și Raportul privind statisticile confidențialității.
Vă rugăm să împărtășiți acest raport pe Facebook sau să îl redactați.
17.04.2023 @ 21:46
este o problemă gravă de securitate pentru utilizatorii Dalil. Faptul că datele lor personale sunt stocate într-o bază de date nesecurizată și neobservată este inacceptabil. Este important ca dezvoltatorii să ia măsuri imediate pentru a remedia această problemă și pentru a proteja datele utilizatorilor lor. În plus, utilizatorii ar trebui să fie conștienți de permisiunile pe care le acordă aplicațiilor și să ia măsuri de precauție pentru a-și proteja datele personale.