移動安全公司Appthority發現了一個iOS和Android應用中的新漏洞這損害了數百萬短信,電話和語音錄音。
可以通過駭客,但責任歸咎於粗心的開發人員。
竊聽的錯誤是什麼?
Appthority在有關竊聽器漏洞的報告中指出,該錯誤使黑客有能力使用權近700個iOS和Android應用中的短信,電話和語音錄音。
大約33%的應用程序與業務有關,目前有170個以上是可用的在Apple的App Store和Google Play商店中。受影響的Android應用已下載多達1.8億次,而該數字對受影響的iOS應用程序不明。
具有竊聽器錯誤的應用程序的示例包括一個在聯邦執法機構內的安全通信的應用程序,該應用程序允許公司的銷售團隊進行錄音,並為討論以及用於包括AT&T和美國蜂窩的客戶的品牌和白色Label Navigations應用程序進行實時註釋,以及品牌和白色標籤導航應用程序。
竊聽器脆弱性是一個主要的脆弱性,因為它很容易為黑客利用。黑客可以從利用該錯誤中獲取的信息也增加了嚴重性,因為他們可以獲取有關公司機密事務的機密知識。
粗心的開發人員指責竊聽的蟲子
竊聽的錯誤不需要越獄或智能手機上的根,也不需要在操作系統中利用漏洞,也不會通過安裝來發動其攻擊惡意軟件。
相反,竊聽的是由於粗心的開發人員未能遵循云通信平台Twilio的安全指南而引起的。 Twilio REST API或SDK允許開發人員輕鬆地將消息傳遞和調用功能添加到其應用中。但是,一些使用API的開發人員留在後面他們的用戶憑據在代碼中,這將使黑客可以訪問其Twilio帳戶中存儲的所有元數據。這包括通過折衷的應用程序完成的所有通信。
Appthority在4月發現了Eavesdropper,並於5月向Twilio介紹了它。此後,Twilio與受影響應用程序背後的開發人員聯繫,並幫助他們應用必要的安全協議。
但是,這家移動安全公司警告說,該問題可能不僅限於Twilio創建的應用程序。它聲稱憑據的硬編碼是一個常見的開發人員錯誤,因此粗心開發人員製作的其他應用程序也可能存在一些安全問題。
