punkt 1: AI.Type, apka na Androida... no dobra, klawiatura na andka (
Wersja platna: imie, nazwisko, emil, precyzyjna lokacja, ile czasu byla zainstalowana.
Wersja darmowa (i tu zapinamy pasy) dodawala do powyzszego: IMSI, IMEI, model tela, oraz wersje andka.
Jakby tego bylo malo, wyglada ze apka zachowywala sie jak keylogger, bo na serwerze znalazlo sie 374 miliony (sic!) numerow telefonow... nie mowiac o marnych 10 milionach adresow email. Bonus dla spamerow mailowych i telefonicznych.
Niektore bazy danych zawieraly listy aplikacji zainstalowanych na telach, np. rnadklowych czy bankowych.
Co wiecej, wyglada tez na to ze jedna baza zawiera wpisane na klawiaturze informacje jak emile, hasla, wyszukiwane frazy, czy wklikiwane numery telefonow.
Dla jasnosci, JA nie mam zludzen ze klawiatura Samsunga czy Googla tez nie zbiera tych info. Tyle, ze wbudowana klawa Samsunga u mnie nie ma prawa laczyc sie z siecia w zaden sposob (klawa Googla to juz trudniej bo moze sie laczyc za pomoca innych uslug, jak np. feedback agent czy download manager).
Anyway, zabawnie sie zrobilo.
Punkt 2: chlopcy z University of California, San Diego (UCSD) postanowili ze sobie cos zbuduja. No i zbudowali. tool sie nazywa Tripwire. Tripwire rejestruje sie automatem na stornach internetowych uzywajac unikalnego emila dla rejestracji, a potem... a potem sledzi czy i gdzie ktos probowal sie logowac uzywajac tych samych danych. Dodatkowo, sprawdza czy strona/portal przechowuje dane rejestracyjne w formie niezabezpieczonego tekstu.
Wynik badan tu:
Kod zrodlowy jakby sie ktos chcial pobawic tu:
A na zachete, znaleziono strone z nieszczelnoscia gdzie przechowuje sie dane ... ponad 45 milionow userow.
@OXYGEN THIEF - a jak to u nas jest?
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
) poprzez byka autorow umiescila dane 31 milionow uzyszkodnikow na niezabezpieczonym serwerze... byly 2 wersje apki, platna i darmowa... jak nietrudno sie domyslac, darmowa zbierala znacznie wiecej danych (w sumie z 32 milionow usero zrobilo sie 574GB danych....). Co bylo zbierane/udostepnione?Wersja platna: imie, nazwisko, emil, precyzyjna lokacja, ile czasu byla zainstalowana.
Wersja darmowa (i tu zapinamy pasy) dodawala do powyzszego: IMSI, IMEI, model tela, oraz wersje andka.
Jakby tego bylo malo, wyglada ze apka zachowywala sie jak keylogger, bo na serwerze znalazlo sie 374 miliony (sic!) numerow telefonow... nie mowiac o marnych 10 milionach adresow email. Bonus dla spamerow mailowych i telefonicznych.
Niektore bazy danych zawieraly listy aplikacji zainstalowanych na telach, np. rnadklowych czy bankowych.
Co wiecej, wyglada tez na to ze jedna baza zawiera wpisane na klawiaturze informacje jak emile, hasla, wyszukiwane frazy, czy wklikiwane numery telefonow.
Dla jasnosci, JA nie mam zludzen ze klawiatura Samsunga czy Googla tez nie zbiera tych info. Tyle, ze wbudowana klawa Samsunga u mnie nie ma prawa laczyc sie z siecia w zaden sposob (klawa Googla to juz trudniej bo moze sie laczyc za pomoca innych uslug, jak np. feedback agent czy download manager).
Anyway, zabawnie sie zrobilo.
Punkt 2: chlopcy z University of California, San Diego (UCSD) postanowili ze sobie cos zbuduja. No i zbudowali. tool sie nazywa Tripwire. Tripwire rejestruje sie automatem na stornach internetowych uzywajac unikalnego emila dla rejestracji, a potem... a potem sledzi czy i gdzie ktos probowal sie logowac uzywajac tych samych danych. Dodatkowo, sprawdza czy strona/portal przechowuje dane rejestracyjne w formie niezabezpieczonego tekstu.
Wynik badan tu:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Kod zrodlowy jakby sie ktos chcial pobawic tu:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
A na zachete, znaleziono strone z nieszczelnoscia gdzie przechowuje sie dane ... ponad 45 milionow userow.
@OXYGEN THIEF - a jak to u nas jest?
