一個漏洞致使數億計的私人對話泄漏？

近日，研究人員發現，數十名開發人員已經在基於Twilio伺服器構建的數百個應用程序中留下了API憑證。攻擊者可以從易受攻擊的應用程序源代碼中提取這些證書，並通過Twilio（一種允許第三方應用程序撥打和接聽電話的雲平台）訪問經由該應用程序及其用戶發送的對話和SMS信息，以及通過編程API向各種電話提供商發送SMS信息。

今年4月，Appthority移動威脅團隊（MTT）發現了這種具有硬編碼Twilio API憑證的應用程序，並在7月份向Twilio通報了這個問題。之後，Twilio已經積極地與應用程序開發人員交流合作，共同撤銷對暴露的API密鑰的訪問許可權。

研究人員發現685個具有硬編碼Twilio證書的應用程序

由於這些應用程序均包含高度敏感的數據資源，因此Appthority公司決定將此次發現的安全問題命名為「竊聽者」（Eavesdropper）漏洞。

Appthority的安全團隊在近日發布的一份報告中指出，

我們在85個Twilio開發者相關的賬戶中發現了超過685個應用程序存在『竊聽者』漏洞，其中44%屬於Android系統，56％屬於iOS系統。

該研究團隊還進一步補充道，

截止2017年8月底，這些應用程序中已經有75個在Google Play中上架，另有102個在App Store中上架。據悉，受影響的Android應用程序已經被下載了高達1.8億次。

受影響的應用程序泄漏數億計的私人電話和簡訊信息

基於研究結果，Appthority的研究人員表示，此次漏洞的影響範圍為「數以億計的私人通話記錄、通話錄音以及簡訊記錄等」。其中，大約1/3的受影響應用程序與企業相關，潛在的授予攻擊者訪問高度敏感的金融和商業電話及簡訊的機會。

但是，更糟糕的是，Appthority安全團隊指出，此次安全問題不僅限於影響商業應用程序，例如，他們還在用於聯邦執法機構安全通信的應用程序中找到了硬編碼的Twilio證書，此外，受影響的還包括為AT＆T和US Cellular等客戶提供導航功能的應用程序。

應用程序開發者是罪魁禍首

「竊聽者」安全問題存在的根本原因要歸咎於粗心的應用程序開發者。過去，我們已經看到過很多類似的情況——應用程序開發人員將API和伺服器憑證留在應用程序的源代碼中，而沒有將其存儲在安全的遠程資料庫中。

此外，在Appthority發布的有關「竊聽者」漏洞的安全報告中，研究人員也發現了亞馬遜S3伺服器存在類似的憑據。

根據今年早些時候發布的另一項研究報告中發現，在調查的16000個Android應用程序中，有2500個應用程序具有類似的憑據，這些應用程序通常用於Twitter、Dropbox、Instagram、Slack、Flickr或Amazon Web Services（AWS）等服務。

而在今年5月份，Appthority發布的另一個報告還發現，被大約1000個移動應用程序作為後端使用的超過21,000個Elasticsearch伺服器沒有任何安全防護措施保護，暴露了43TB用戶和公司的機密數據。

本文翻譯自：https://www.bleepingcomputer.com/news/security/-eavesdropper-vulnerability-exposes-millions-of-private-conversations/，如若轉載，請註明原文地址： http://www.4hou.com/info/news/8385.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：