Ευπάθεια που ανακαλύφθηκε πρόσφατα και επηρεάζει πάνω από 700 εφαρμογές για τις πλατφόρμες των iOS και Android, εξέθεσε χιλιάδες μηνύματα κειμένου, κλήσεις και ηχογραφήσεις χρηστών, όπως αναφέρουν ερευνητές της Appthority. Το κενό ασφαλείας, που ονομάζεται Eavesdropper, οφείλεται σε κακές προγραμματιστικές πρακτικές που εφαρμόζουν αρκετοί developers σε mobile apps, χρησιμοποιώντας το Rest API ή το SDK της Twilio, χωρίς ωστόσο να ακολουθούν τις οδηγίες ασφαλείας της εταιρείας.
“Ενσωματώνοντας τα στοιχεία αναγνώρισής τους σε εφαρμογές, οι developers πρακτικά εξέθεσαν όλα τα metadata που διατηρούνται στους λογαριασμούς τους της Twilio, συμπεριλαμβανομένων μηνυμάτων κειμένου/SMS, μεταδεδομένων δικτύων κινητής τηλεφωνίας, αλλά και ηχογραφήσεις”, αναφέρει ο Michael Bentley της Twilio σε blog post. “Η έκταση του φαινομένου είναι τεράστια, ενώ έχουν εκτεθεί εκατοντάδες εκατομμύρια αρχεία κλήσεων, ηχογραφήσεις και μηνύματα”.
Σχεδόν το 33% των επηρεαζόμενων εφαρμογών αφορούν στον επαγγελματικό τομέα, ενώ σε αυτές συγκαταλέγεται και μία που επιτρέπει την “ασφαλή επικοινωνία ομοσπονδιακής υπηρεσίας”, καθώς και μία που προορίζεται “για χρήση από εταιρικά τμήματα πωλήσεων για ηχογραφήσεις”.
Σύμφωνα με την Appthority είναι αρκετά εύκολο κάποιος να εκμεταλλευτεί την ευπάθεια, με στόχο να υποκλέψει εμπιστευτικές πληροφορίες, τις οποίες θα μπορούσε να χρησιμοποιήσει κακόβουλα, ειδικά στην περίπτωση όπου αυτές αφορούν εμπορικά μυστικά. Οι επηρεαζόμενες εφαρμογές έχουν “κατέβει” πάνω από 180 εκατομμύρια φορές, ενώ 170 από αυτές είναι διαθέσιμες ακόμα και αυτή τη στιγμή στα σχετικά app stores.
Το πρόβλημα έχει ανακαλυφθεί από τον περασμένο Απρίλιο, ενώ η Appthority έχει ενημερώσει από τότε την Twilio με στόχο την διευθέτησή του. Η Twilio έχει μεταφέρει τις σχετικές πληροφορίες στους developers και εργάζονται από κοινού για την εξεύρεση λύσης.
Αξίζει να σημειωθεί ότι, όπως επισημαίνει η Appthority, η ευπάθεια δεν περιορίζεται μόνο σε εφαρμογές που αξιοποιούν λογισμικό της Twilio, αλλά είναι κάτι που θα μπορούσε να συμβεί σε οποιαδήποτε άλλη περίπτωση, εφόσον οι developers ενσωματώνουν στοιχεία αναγνώρισής τους σε εφαρμογές.
-----------
Μπορεί να λάβουμε ένα μικρό ποσοστό εάν κάνετε κλικ σε έναν σύνδεσμο και αγοράσετε κάποιο προϊόν. Για περισσότερες λεπτομέρειες, εδώ μπορείτε να μάθετε πώς χρησιμοποιούμε τους συνδέσμους συνεργατών. Σας ευχαριστούμε για την υποστήριξη.
-----------
Ακολουθήστε το Gizchina Greece στο Google News για νέα και ειδήσεις στον χώρο της τεχνολογίας. Αν ψάχνετε HOT προσφορές και κουπόνια για κινητά και gadgets, κάντε εγγραφή στο κανάλι μας στο Telegram.
-----------