[English]Die in Saudi Arabien und einigen arabischen Ländern sehr beliebte Telefonbuch-App Dali ist unsicher und legt den gesamten Datenbestand an Nutzerdaten für Dritte offen. Darauf haben mich Sicherheitsforscher von VPN-Mentor in einer E-Mail hingewiesen.
Anzeige
Dalil ist das größte Telefonbuch in Saudi-Arabien und steht als App für Smartphones zur Verfügung. Mit mehr als 5 Millionen Downloads ist Dalil die 13. beliebteste Kommunikations-App in Saudi Arabien (96% der Nutzer) und in einigen arabischen Ländern. Die App funktioniert wie ein Truecaller und hilft Benutzern, unbekannte Nummern zu identifizieren. Theoretisch bietet dies Schutz vor Kaltakquise und anderen unerwünschten Kontakten, deren Anrufe dann abgewiesen werden können.
Die Praxis erzählt jedoch eine andere Geschichte. Unter der Leitung von Noam R., einem bekannten White Hat Hacker und Aktivisten, entdeckte das Forschungsteam von VPNMentor einen größeren Sicherheitsverstoß in Dalils Datenbank. Durch eine Sicherheitslücke sind die komplette Datensätze für mehr als 5 Millionen Benutzer offen über das Internet für Dritte zugänglich.
App-Berechtigungen
Wie alle Apps fordert Dalil Berechtigungen an, denen Benutzer zustimmen müssen, bevor sie das Programm herunterladen und nutzen können. Einige Berechtigungen sind zu erwarten, z.B. muss eine Caller ID App Kontakte lesen können. Andere Berechtigungen erscheinen verdächtiger, wie das Lesen und Ändern der gespeicherten Dateien des Telefons, das Umleiten von Anrufen und das Verfolgen des Standortes..
Anzeige
So verdächtig einige Berechtigungen auch erscheinen mögen, sie sind nicht die Hauptursache für die Sicherheitsprobleme von Dalil.
Dalils Datenbank ist ungesichert
Das Hauptproblem: Alle von der App erfassten Benutzerdaten werden in einer ungesicherten und nicht überwachten MongoDB-Datenbank gespeichert. Diese ist ohne Authentifizierung erreichbar und bietet Hackern passwortfreien Zugriff auf die Daten von Millionen von Menschen. Neben dem Anwendungsprotokoll enthält diese Datenbank sowohl von Geräten abgesaugte, als auch freiwillig von Nutzern übermittelte personenbezogene Daten. Standardmäßig sammelt die App folgende Daten der Benutzer:
- Handynummer und IP-Adresse (intern und extern, falls zutreffend)
- IMEI (die gerätespezifische Identifikationsnummer)
- Gerätemodell, Token, Seriennummer und Betriebssystem
- Sim-Karten- und Netzbetreiberinformationen
- GPS- und Netzwerkortungsinformationen
Wenn Benutzer ihre Profile erstellen, werden sie aufgefordert, zusätzliche Informationen hinzuzufügen:
- Persönliches E-Mail-Konto
- Vor- und Nachname
- Geschlecht und Beruf
Auch diese Daten befinden sich derzeit in einer vollständig offenen Datenbank. Das Team von VPNMentor hat die Daten bzw. die offene Datenbank gefunden. Details lassen sich in diesem Artikel nachlesen.
Anzeige
Welche funktional ähnliche App, die vor Kaltaquise etc. schützt, könnte zur Verwendung empfohlen werden?
Da Kaltaquise in Deutschland verboten ist und die Ignoranten mit ihren Gewinnspielen anonym aus dem Ausland anrufen, ist eine solche App weitgehend nutzlos. Ich hatte mal einen Anrufmonitor auf Java-Basis, der aber nicht mehr funktioniert. Lief auf dem Desktop für den Festnetzanschluss.