Anonim
איומים ביטחוניים

פגיעות שהתגלתה לאחרונה שמשפיעה כמעט 700 אפליקציות ל- iOS ואנדרואיד חשפה מיליוני הודעות טקסט, שיחות והקלטות קוליות, כך הזהירו היום (א ') חוקרים בחברת ההגנה על האיומים הניידים בארגון Appthority.

"על ידי קידוד קשה של האישורים שלהם, המפתחים העניקו למעשה גישה גלובלית לכל המטא נתונים שאוחסנו בחשבונות הטוויליו שלהם, כולל הודעות טקסט / SMS, מטא נתונים של שיחות והקלטות קוליות", כתב מייקל בנטלי של Appthority בפוסט בבלוג. "היקף החשיפה הוא מסיבי הכולל מאות מיליוני רשומות שיחה, דקות שיחות והקלטות שמע והודעות טקסט."

כ 33 אחוז מהיישומים עם באג Eavesdropper קשורים לעסקים. הם כוללים "אפליקציה לתקשורת מאובטחת עבור סוכנות אכיפת חוק פדרלית, אפליקציה המאפשרת לצוותי מכירות ארגוניים להקליט אודיו ולהערות דיונים בזמן אמת, ואפליקציות ניווט ממותגות ולבנות לבנות עבור לקוחות כמו AT&T ו- US Cellular, " כתב האתורות בהודעת חדשות.

בנטלי הוסיף כי הפגיעות, שתוארה על ידי Appthority כ"קל "לניצול, תאפשר לתוקף" לגשת לידע סודי אודות עסקיה של חברה ולבצע מהלכים לנצל אותם לצורך סחיטה או רווח אישי. "

ביחד, האפליקציות המושפעות הורדו בערך 180 מיליון פעמים. יתר על כן, יותר מ -170 מהיישומים המושפעים זמינים כיום בחנויות אפליקציות רשמיות.

קשורים

  • 11 הפרות נתונים מסוכנות שצריכות לזרוק אותך 11 הפרות נתונים מסוכנות שצריכות לחרוג אותך

אפורטוריטי גילה את הפגם באפריל 2017 והודיעה על כך לטוויליו בחודש שלאחר מכן. Twilio פנה מאז למפתחי האפליקציות המושפעות ועובד איתם לאבטחת חשבונותיהם.

בינתיים, Appthority טוענת כי הבעיה אינה מוגבלת ליישומים שנוצרו עם Twilio.

"קידוד קשה של אישורים הוא שגיאה מפתחת ונפוצה המפתחת המגדילה את סיכוני האבטחה של אפליקציות סלולריות", נמסר מהמשרד. "למפתחים שיש להם אישורי קוד קשיח בשירות אחד יש נטייה גבוהה לטעות באותה שרות עם שירותים אחרים."