Eavesdropper Bug vystavuje miliony textů, volání

Anonim
Bezpečnostní hrozby

Nedávno objevená zranitelnost ovlivňující téměř 700 aplikací pro iOS a Android odhalila miliony textových zpráv, hovorů a hlasových záznamů.

„Tvrdým kódováním svých údajů pověřili vývojáři globální přístup ke všem metadatům uloženým na jejich účtech Twilio, včetně textových / SMS zpráv, metadat volání a hlasových nahrávek, “ napsal Michael Bentley z Appthority v blogu. "Rozsah expozice je obrovský, včetně stovek milionů záznamů hovorů, minut hovorů a zvukových záznamů a textových zpráv."

Asi 33 procent aplikací s chybou Eavesdropper souvisí s obchodem. Zahrnují „aplikaci pro bezpečnou komunikaci pro federální agenturu činnou v trestním řízení, aplikaci, která umožňuje podnikovým prodejním týmům nahrávat zvukové a anotované diskuse v reálném čase, a značkové a bílé navigační aplikace pro zákazníky, jako jsou AT&T a US Cellular, “ Appthority napsal ve zprávě.

Zranitelnost, kterou Appthority označila za „snadno použitelnou“, by útočníkovi umožnila „získat přístup k důvěrným informacím o obchodních jednáních společnosti a učinit kroky, aby je vydělala za vydírání nebo osobní zisk, “ dodal Bentley.

Společně byly postižené aplikace staženy zhruba 180 milionůkrát. Navíc je dnes v oficiálních obchodech s aplikacemi k dispozici více než 170 dotčených aplikací.

Příbuzný

  • 11 Nebezpečná porušení dat, která by vás měla rozšířit 11 Nebezpečná porušení dat, která by vás měla rozšířit

Appthority chybu objevila v dubnu 2017 a příští měsíc o ní informovala Twilio. Twilio od té doby oslovil vývojáře dotčených aplikací a spolupracuje s nimi na zabezpečení jejich účtů.

Mezitím Appthority říká, že tento problém není omezen na aplikace vytvořené pomocí Twilio.

„Tvrdé kódování pověření je všudypřítomná a běžná chyba vývojáře, která zvyšuje bezpečnostní rizika mobilních aplikací, “ uvedla firma. „Vývojáři, kteří v jedné službě zadávají přihlašovací údaje, mají vysoký sklon dělat stejnou chybu jako ostatní služby.“