Pārskats – Dalil datu pārkāpums: nedrošas lietotnes atklāti vairāk nekā miljons lietotāju datu

Dalil ir lielākais tālruņu katalogs Saūda Arābijā.

Ar vairāk nekā 5 miljoniem lejupielāžu Dalil ir 13. populārākā saziņas lietotne Lielbritānijā. Kontekstā šeit Viber un Telegram ierindojas ASV. 96% tās lietotāju ir Saūda Arābijā; pārējie ir Ēģiptē un citās arābu valstīs.

Lietotne darbojas tāpat kā Truecaller, palīdzot lietotājiem identificēt nezināmus numurus. Teorētiski tas piedāvā aizsardzību pret zvanītājiem un citiem nevēlamiem kontaktiem.

Tomēr realitāte stāsta citu stāstu. Vadīja Noam R., labi pazīstams balto cepuru hakeris un aktīvists, VPNMentor pētniecības grupa atklāja būtisku drošības pārkāpumu Dalil datu bāzē. Tā vietā, lai aizsargātu lietotājus, šis pārkāpums nozīmē Pilns datu komplekts par 5 miljoniem lietotāju ir atvērts un pieejams visam internetam.

Lietotņu atļaujas

Tāpat kā visās lietotnēs, arī Dalil ir atļauju pieprasījumu saraksts, kas lietotājiem jāpiekrīt pirms programmas lejupielādes un instalēšanas. Jāsagaida dažas atļaujas; piemēram, zvanītāja ID lietotnei ir jālasa kontakti. Citas atļaujas šķiet aizdomīgākast, piemēram, tālruņa saglabāto failu lasīšana un modificēšana, zvanu pāradresācija un jūsu atrašanās vietas izsekošana.

Dalil datu bāze nav nodrošināta

Lai arī kādas atļaujas var šķist aizdomīgas, tās nav galvenais Dalilas drošības problēmu cēlonis.

Visi lietotāja apkopotie lietotāja dati tiek glabāti nenodrošinātā un neuzraudzītā MongoDB datu bāzē. Tas ir sasniedzams bez autentifikācijas, nodrošinot hakeriem piekļuvi miljoniem cilvēku bez paroles.

Kā arī lietojumprogrammu žurnāls, tas datu bāzē ir gan novāktā, gan brīvprātīgi iesniegtā personiskā informācija. Tālāk redzamajā Lietotāju ceļojumā ir parādīts, cik daudz datu lietotne var piekļūt:

Pēc noklusējuma lietotne apkopo lietotājus:

• Mobilā tālruņa numurs
• IP adrese (attiecīgā gadījumā iekšējā un ārējā)
• Ierīces modelis, marķieris, sērijas numurs un operētājsistēma
• IMEI (ierīces īpašais identifikācijas numurs)
• Sim kartes un tīkla pakalpojumu sniedzēja informācija
• GPS un tīkla atrašanās vietas informācija

Kad lietotāji izveido savus profilus, viņiem tiek piedāvāts pievienot papildu informāciju, tostarp viņu:

• Personīgais e-pasta konts
• Vārds un uzvārds
• Dzimums
• Profesija

Atkal, šie dati šobrīd parādās pilnīgi atvērtā datu bāzē. Mūsu komanda to atrada: tas nozīmē, ka arī jebkurš cits, kurš vēlas to meklēt. Un, lai gan mūsu hakeri nav ļaunprātīgi, mēs nevaram garantēt citu motivāciju.

Profila paraugs

Kā parādīts iepriekš, lietotne apkopo lielu informācijas daudzumu. Tas mums ļāva no uzlauztajiem datiem izveidojiet profilu vienam Dalil lietotājam. Kaut arī mēs esam rediģējuši visu būtisko identificējošo informāciju, tas parāda, cik bīstami šie dati var būt nepareizajās rokās.

Papildus lietotāja tālruņa numuram, IMEI un tīkla datiem, mēs varam redzēt arī daudz personiskas informācijas.

Kad mēs tulkojām Unicode no datu bāzes arābu burtiem, mēs redzam, ka lietotājs savu profesiju uzskaitīja kā Ha’il reģionu – teritoriju, kurā viņš dzīvo. Tomēr, tā kā abas viņa e-pasta adreses ir norādītas, mēs vienkārši meklējām viņa informāciju Google tīklā. Tas mums deva savu profesionālo Instagram profilu:

Kad mēs meklējām uzskaitīto formatēto adresi, mēs atradām šo atrašanās vietu:

Tas ir tikai divi bloki virs koordinātām, kas uzskaitītas viņa pēdējās lietošanas laikā, sniedzot ļoti precīzu priekšstatu par to, kur var atrast šo lietotāju:

Drošības jautājumi

Tas parāda divus atšķirīgus drošības jautājumus.

Pirmkārt: mērķtiecīga reklāmas un ļaunprātīga programmatūra. Kaut arī datu bāze aizsargā dažus datus (piemēram, tiek sajauktas lietotāju paroles), pieejamā informācija ļauj mums izveidot diezgan precīzus lietotāja profilus.

Ja šīs datu bāzes saturs tiktu pārdots trešo personu reklāmdevējiem (vai valdībām un teroristu organizācijām tumšajā tīmeklī), zināšanas par lietotāju dzimumu, profesijām un atrašanās vietām varētu ļaut viņiem izveidot mērķtiecīgas reklāmas (vai naidīgas darbības).

Turklāt, un tas ir satraucošāk, zinot precīzu lietotāju tālruņu modeli un modeli, kā arī viņu operētājsistēmas, ļoti specifiska ļaunprātīgas programmatūras izvietošana. Tas varētu radīt milzīgus personiskus un finansiālus zaudējumus miljoniem lietotāju visā Saūda Arābijā, Ēģiptē un citās valstīs, kur Dalil ir populāra.

Ir vēl viens, daudz drūmāks iemesls, kāpēc Dalil nenodrošinātā datu bāze ir potenciāli tik bīstama. Saūda Arābijā ir daži no pasaules stingrākajiem cenzūras likumiem, kas attiecas arī uz tālruņa zvanu uzraudzību un cenzūru, kas veikti apstiprinātās lietotnēs. Ja šī datu bāze ietilpst Saūda Arābijas valdības rokās viņi varēja viegli identificēt lietotājus pēc viņu tālruņu numuriem un klausīties viņu tālruņa sarunas.

Tas izceļ divus sarkanos karogus. Pirmkārt, atļaujas ļauj lietotnei pāradresēt zvanus. Tālruņa zvani tiek automātiski filtrēti caur atļauto lietotni, kas ļauj Saūda Arābijas amatpersonām ieklausīties.

Lietotnei ir arī atļauja “ierīcē atrast kontus”. Kā parādīts zemāk esošajā lietotāja profilā, lietotne iegūst informāciju par lietotāju Viber profiliem. Rakuten’s Viber ir atļauts Karalistē, nozīmē tas ir pakļauts uzraudzībai.

Turklāt lietotne atļaujas ļauj piekļūt ierīcē saglabātajiem multivides failiem un saņemtajām īsziņām. Lai gan mēs datu bāzē neatradām nevienu attēlu, videoklipu vai tekstu, iespējams, ka šie faili tiek glabāti citur, un tos var arī uzlauzt.

Mēs atklājām, ka lietotne reģistrē arī caur to veiktos meklējumus. Lai arī kontaktpersonas tālruņa numurs tika šifrēts datu bāzē, tiek reģistrēti to kontaktpersonu vārdi, kuras lietotājs meklē.

Stingra cenzūra apvienojumā ar iespēju izsekot lietotāju atrašanās vietām (atkal lietotnes atļauju dēļ) varētu nozīmēt nopietnas sekas ikvienam, kas nozvejots, pārkāpjot Saūda Arābijas likumus. Ja Saūda Arābijas valdībai būtu piekļuve šai datu bāzei, cilvēki, kuru profesijas ļauj viņiem uzraudzīt, varētu izjust reālas briesmas.

Piemēram, ja žurnālistam jāmeklē kontakts un jārunā ar to un jāorganizē tikšanās, valdība teorētiski varētu identificēt šo kontaktu. Tas ir īpaši iespējams, ja kontaktpersona tika saglabāta ar identifikatoru (piemēram, “Bobs – Pica” vai “Sofija – Darbs”), un ņemot vērā to, ka Dalilu lieto 15% Saūda Arābijas iedzīvotāju.

Lietotnes atrašanās vietas atļaujas nozīmē, ka amatpersonas varēja izsekot žurnālistam (un viņu kontaktpersonai). Viņi varēja sekot viņam uz tikšanos, noklausīties visu, par ko ziņots, un nekavējoties viņu arestēt.

Ētiskā uzlauzšana un secinājumi

Šo pārkāpumu mēs atklājām tīmekļa kartēšanas projekta rezultātā. Mūsu hakeris izmanto portu skenēšanu, lai pārbaudītu noteiktus IP blokus un pārbaudītu, vai sistēmās nav atvērtu caurumu. Viņi pārbauda katru caurumu, vai nav datu noplūdes. Šajā gadījumā, viņi instalēja lietotni un ievadīja savus datus. Tas ļāva viņiem abiem apstiprināt, ka viņu dati ir noplūdi, un datu bāzes identitāti.

Mēs sazinājāmies ar Dalilu, lai brīdinātu viņus par šo drošības pārkāpumu. Mūsu informācijā bija datums, kurā mēs plānojām publicēt šo rakstu, un deva viņiem dažas dienas, lai atrastu un aizsargātu viņu datu bāzi, pirms šīs zināšanas kļuva publiskas. Publicēšanas laikā mēs vēl nebija dzirdējuši no viņiem. Tā kā hakeri acīmredzami var atrast šo datu bāzi tiešsaistē – un, iespējams, jau ir -, ir svarīgi dalīties ar atklājumiem sabiedrībā lai viņi varētu veikt atbilstošus pasākumus, lai aizsargātu savus datus.

Pēc tam, kad mēs ziņojām par problēmu Dalil (un pirms šī ziņojuma publicēšanas), mēs arī pamanījām, ka daži dati uz servera tika šifrēti, bet reģistrējoties, jaunie dati nebija šifrēti. Tas liecina, ka vismaz viens ļaunprātīgs dalībnieks piekļuvis Dalil lietotāja datiem. Mēs aicinām Dalilu pēc iespējas stingrāk rīkoties ātri un aizsargāt savus lietotājus.

Mācība šeit ir skaidra: popularitāte nav līdzvērtīga uzticamībai. Dalil nenodrošinātā datu bāze to pierāda lietotājiem jābūt uzmanīgiem, piekrītot lietotņu atļaujām un uzticēt nezināmām personām savu personisko informāciju, jo pat vispopulārākās lietotnes rada kļūdas.

Iepriekšējie ziņojumi

Varat arī izlasīt mūsu ziņojumu par viltotām lietotnēm, kuras Irānā tiek izmantotas lietotāju uzraudzībai, ziņojumu par VPN noplūdi un datu konfidencialitātes statistiku..

Lūdzu, kopīgojiet šo ziņojumu Facebook vai tweet.