Ευπάθεια που ανακαλύφθηκε πρόσφατα και επηρεάζει πάνω από 700 εφαρμογές για τις πλατφόρμες των iOS και Android, εξέθεσε χιλιάδες μηνύματα κειμένου, κλήσεις και ηχογραφήσεις χρηστών, όπως αναφέρουν ερευνητές της Appthority.

Το κενό ασφαλείας, που ονομάζεται Eavesdropper, οφείλεται σε κακές προγραμματιστικές πρακτικές που εφαρμόζουν αρκετοί developers σε mobile apps, χρησιμοποιώντας το Rest API ή το SDK της Twilio, χωρίς ωστόσο να ακολουθούν τις οδηγίες ασφαλείας της εταιρείας.

ΔΙΑΦΗΜΙΣΤΙΚΟΣ ΧΩΡΟΣ

“Ενσωματώνοντας τα στοιχεία αναγνώρισής τους σε εφαρμογές, οι developers πρακτικά εξέθεσαν όλα τα metadata που διατηρούνται στους λογαριασμούς τους της Twilio, συμπεριλαμβανομένων μηνυμάτων κειμένου/SMS, μεταδεδομένων δικτύων κινητής τηλεφωνίας, αλλά και ηχογραφήσεις”, αναφέρει ο Michael Bentley της Twilio σε blog post.

“Η έκταση του φαινομένου είναι τεράστια, ενώ έχουν εκτεθεί εκατοντάδες εκατομμύρια αρχεία κλήσεων, ηχογραφήσεις και μηνύματα”.

ΔΙΑΦΗΜΙΣΤΙΚΟΣ ΧΩΡΟΣ

Σχεδόν το 33% των επηρεαζόμενων εφαρμογών αφορούν στον επαγγελματικό τομέα, ενώ σε αυτές συγκαταλέγεται και μία που επιτρέπει την “ασφαλή επικοινωνία ομοσπονδιακής υπηρεσίας”, καθώς και μία που προορίζεται “για χρήση από εταιρικά τμήματα πωλήσεων για ηχογραφήσεις”.

Σύμφωνα με την Appthority είναι αρκετά εύκολο κάποιος να εκμεταλλευτεί την ευπάθεια, με στόχο να υποκλέψει εμπιστευτικές πληροφορίες, τις οποίες θα μπορούσε να χρησιμοποιήσει κακόβουλα, ειδικά στην περίπτωση όπου αυτές αφορούν εμπορικά μυστικά.

ΔΙΑΦΗΜΙΣΤΙΚΟΣ ΧΩΡΟΣ

Οι επηρεαζόμενες εφαρμογές έχουν “κατέβει” πάνω από 180 εκατομμύρια φορές, ενώ 170 από αυτές είναι διαθέσιμες ακόμα και αυτή τη στιγμή στα σχετικά app stores.

Το πρόβλημα έχει ανακαλυφθεί από τον περασμένο Απρίλιο, ενώ η Appthority έχει ενημερώσει από τότε την Twilio με στόχο την διευθέτησή του. Η Twilio έχει μεταφέρει τις σχετικές πληροφορίες στους developers και εργάζονται από κοινού για την εξεύρεση λύσης.

Αξίζει να σημειωθεί ότι, όπως επισημαίνει η Appthority, η ευπάθεια δεν περιορίζεται μόνο σε εφαρμογές που αξιοποιούν λογισμικό της Twilio, αλλά είναι κάτι που θα μπορούσε να συμβεί σε οποιαδήποτε άλλη περίπτωση, εφόσον οι developers ενσωματώνουν στοιχεία αναγνώρισής τους σε εφαρμογές.

Πηγή: gr.pcmag.com

σχόλια αναγνωστών
oδηγός χρήσης