移动安全公司Appthority发现了一个iOS和Android应用中的新漏洞这损害了数百万短信,电话和语音录音。
可以通过黑客,但责任归咎于粗心的开发人员。
窃听的错误是什么?
Appthority在有关窃听器漏洞的报告中指出,该错误使黑客有能力使用权近700个iOS和Android应用中的短信,电话和语音录音。
大约33%的应用程序与业务有关,目前有170个以上是可用的在Apple的App Store和Google Play商店中。受影响的Android应用已下载多达1.8亿次,而该数字对受影响的iOS应用程序不明。
具有窃听器错误的应用程序的示例包括一个在联邦执法机构内的安全通信的应用程序,该应用程序允许公司的销售团队进行录音,并为讨论以及用于包括AT&T和美国蜂窝的客户的品牌和白色Label Navigations应用程序进行实时注释,以及品牌和白色标签导航应用程序。
窃听器脆弱性是一个主要的脆弱性,因为它很容易为黑客利用。黑客可以从利用该错误中获取的信息也增加了严重性,因为他们可以获取有关公司机密事务的机密知识。
粗心的开发人员指责窃听的虫子
窃听的错误不需要越狱或智能手机上的根,也不需要在操作系统中利用漏洞,也不会通过安装来发动其攻击恶意软件。
相反,窃听的是由于粗心的开发人员未能遵循云通信平台Twilio的安全指南而引起的。 Twilio REST API或SDK允许开发人员轻松地将消息传递和调用功能添加到其应用中。但是,一些使用API的开发人员留在后面他们的用户凭据在代码中,这将使黑客可以访问其Twilio帐户中存储的所有元数据。这包括通过折衷的应用程序完成的所有通信。
Appthority在4月发现了Eavesdropper,并于5月向Twilio介绍了它。此后,Twilio与受影响应用程序背后的开发人员联系,并帮助他们应用必要的安全协议。
但是,这家移动安全公司警告说,该问题可能不仅限于Twilio创建的应用程序。它声称凭据的硬编码是一个常见的开发人员错误,因此粗心开发人员制作的其他应用程序也可能存在一些安全问题。
