Специалисты Appthority Mobile Threat Team обнаружили серьезную проблему, связанную с использованием API компании Twilio, которая предоставляет свою облачную платформу сторонним разработчикам для осуществления различных коммуникаций (к примеру, голосовых вызовов и SMS-сообщений). Проблема получила название Eavesdropper («Соглядатай» или «Подслушивающий»).
Исследователи проанализировали более 1100 приложений для iOS и Android, использующих Twilio, и обнаружили, что 686 из них (44% Android, 56% iOS) содержат в коде жестко закодированные данные разработчиков, связанные с 85 девелоперскими аккаунтами Twilio. Сообщается, что в конце августа 2017 года 75 приложений были доступны в каталоге Google Play, а еще 102 можно было загрузить из App Store.
При этом большинство уязвимых решений ориентированы в первую очередь на организации. Некоторые из таких приложений используются как навигационные решения для клиентов AT&T и US Cellular, другие и вовсе применяются в качестве защищенных каналов связи правоохранительными органами. Суммарное количество установок уязвимых Android-приложений превышало 180 000 000.
Специалисты объясняют, что обнаружить в коде приложений жестко закодированные учетные данные от аккаунтов Twilio нетрудно, а обладая такой информацией, можно получить доступ к сотням миллионов SMS-сообщений записей голосовых вызовов, самим голосовым вызовам и так далее.
Эксперты подчеркивают, что винить инженеров Twilio не в чем: компания предоставляет разработчикам соответствующую всем нормам документацию, решения Twilio не содержат уязвимостей как таковых, и никто определенно не заставлял разработчиков «дырявых» приложений оставлять в коде учетные данные.
Хуже того, в своем отчете аналитики Appthority пишут, что помимо учетных данных от аккаунтов Twilio порядка 40% приложений также содержат учетные данные Amazon S3, из-за которых риску подвергаются более 22 000 бакетов, в том числе содержащие потенциально конфиденциальные данные.
Так как специалисты Appthority Mobile Threat Team обнаружили проблему еще в апреле 2017 года, к настоящему моменту инженеры Twilio уже ведут активную работу с разработчиками проблемных приложений, и отзыв «утекших» ключей API идет полных ходом.
Фото: Depositphotos