{"id":215330,"date":"2019-03-05T00:36:44","date_gmt":"2019-03-04T23:36:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=215330"},"modified":"2019-05-22T14:14:13","modified_gmt":"2019-05-22T12:14:13","slug":"unsichere-dali-app-legt-5-millionen-nutzerdaten-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/05\/unsichere-dali-app-legt-5-millionen-nutzerdaten-offen\/","title":{"rendered":"Unsichere Dali-App legt 5 Millionen Nutzerdaten offen"},"content":{"rendered":"

[English<\/a>]Die in Saudi Arabien und einigen arabischen L\u00e4ndern sehr beliebte Telefonbuch-App Dali ist unsicher und legt den gesamten Datenbestand an Nutzerdaten f\u00fcr Dritte offen. Darauf haben mich Sicherheitsforscher von VPN-Mentor in einer E-Mail hingewiesen.<\/p>\n

<\/p>\n

Dalil ist das gr\u00f6\u00dfte Telefonbuch in Saudi-Arabien und steht als App f\u00fcr Smartphones zur Verf\u00fcgung. Mit mehr als 5 Millionen Downloads ist Dalil die 13. beliebteste Kommunikations-App in Saudi Arabien (96% der Nutzer) und in einigen arabischen L\u00e4ndern. Die App funktioniert wie ein Truecaller und hilft Benutzern, unbekannte Nummern zu identifizieren. Theoretisch bietet dies Schutz vor Kaltakquise und anderen unerw\u00fcnschten Kontakten, deren Anrufe dann abgewiesen werden k\u00f6nnen.<\/p>\n

Die Praxis erz\u00e4hlt jedoch eine andere Geschichte. Unter der Leitung von Noam R., einem bekannten White Hat Hacker und Aktivisten, entdeckte das Forschungsteam von VPNMentor<\/a> einen gr\u00f6\u00dferen Sicherheitsversto\u00df in Dalils Datenbank. Durch eine Sicherheitsl\u00fccke sind die komplette Datens\u00e4tze f\u00fcr mehr als 5 Millionen Benutzer offen \u00fcber das Internet f\u00fcr Dritte zug\u00e4nglich.<\/p>\n

App-Berechtigungen<\/h2>\n

Wie alle Apps fordert Dalil Berechtigungen an, denen Benutzer zustimmen m\u00fcssen, bevor sie das Programm herunterladen und nutzen k\u00f6nnen. Einige Berechtigungen sind zu erwarten, z.B. muss eine Caller ID App Kontakte lesen k\u00f6nnen. Andere Berechtigungen erscheinen verd\u00e4chtiger, wie das Lesen und \u00c4ndern der gespeicherten Dateien des Telefons, das Umleiten von Anrufen und das Verfolgen des Standortes..<\/p>\n

\"Dalil<\/p>\n

So verd\u00e4chtig einige Berechtigungen auch erscheinen m\u00f6gen, sie sind nicht die Hauptursache f\u00fcr die Sicherheitsprobleme von Dalil.<\/p>\n

Dalils Datenbank ist ungesichert<\/h2>\n

Das Hauptproblem: Alle von der App erfassten Benutzerdaten werden in einer ungesicherten und nicht \u00fcberwachten MongoDB-Datenbank gespeichert. Diese ist ohne Authentifizierung erreichbar und bietet Hackern passwortfreien Zugriff auf die Daten von Millionen von Menschen. Neben dem Anwendungsprotokoll enth\u00e4lt diese Datenbank sowohl von Ger\u00e4ten abgesaugte, als auch freiwillig von Nutzern \u00fcbermittelte personenbezogene Daten. Standardm\u00e4\u00dfig sammelt die App folgende Daten der Benutzer:<\/p>\n