標籤:

一個漏洞致使數億計的私人對話泄漏?

近日,研究人員發現,數十名開發人員已經在基於Twilio伺服器構建的數百個應用程序中留下了API憑證。攻擊者可以從易受攻擊的應用程序源代碼中提取這些證書,並通過Twilio(一種允許第三方應用程序撥打和接聽電話的雲平台)訪問經由該應用程序及其用戶發送的對話和SMS信息,以及通過編程API向各種電話提供商發送SMS信息。

今年4月,Appthority移動威脅團隊(MTT)發現了這種具有硬編碼Twilio API憑證的應用程序,並在7月份向Twilio通報了這個問題。之後,Twilio已經積極地與應用程序開發人員交流合作,共同撤銷對暴露的API密鑰的訪問許可權。

研究人員發現685個具有硬編碼Twilio證書的應用程序

由於這些應用程序均包含高度敏感的數據資源,因此Appthority公司決定將此次發現的安全問題命名為「竊聽者」(Eavesdropper)漏洞。

Appthority的安全團隊在近日發布的一份報告中指出,

我們在85個Twilio開發者相關的賬戶中發現了超過685個應用程序存在『竊聽者』漏洞,其中44%屬於Android系統,56%屬於iOS系統。

該研究團隊還進一步補充道,

截止2017年8月底,這些應用程序中已經有75個在Google Play中上架,另有102個在App Store中上架。據悉,受影響的Android應用程序已經被下載了高達1.8億次。

受影響的應用程序泄漏數億計的私人電話和簡訊信息

基於研究結果,Appthority的研究人員表示,此次漏洞的影響範圍為「數以億計的私人通話記錄、通話錄音以及簡訊記錄等」。其中,大約1/3的受影響應用程序與企業相關,潛在的授予攻擊者訪問高度敏感的金融和商業電話及簡訊的機會。

但是,更糟糕的是,Appthority安全團隊指出,此次安全問題不僅限於影響商業應用程序,例如,他們還在用於聯邦執法機構安全通信的應用程序中找到了硬編碼的Twilio證書,此外,受影響的還包括為AT&T和US Cellular等客戶提供導航功能的應用程序。

應用程序開發者是罪魁禍首

「竊聽者」安全問題存在的根本原因要歸咎於粗心的應用程序開發者。過去,我們已經看到過很多類似的情況——應用程序開發人員將API和伺服器憑證留在應用程序的源代碼中,而沒有將其存儲在安全的遠程資料庫中。

此外,在Appthority發布的有關「竊聽者」漏洞的安全報告中,研究人員也發現了亞馬遜S3伺服器存在類似的憑據。

根據今年早些時候發布的另一項研究報告中發現,在調查的16000個Android應用程序中,有2500個應用程序具有類似的憑據,這些應用程序通常用於Twitter、Dropbox、Instagram、Slack、Flickr或Amazon Web Services(AWS)等服務。

而在今年5月份,Appthority發布的另一個報告還發現,被大約1000個移動應用程序作為後端使用的超過21,000個Elasticsearch伺服器沒有任何安全防護措施保護,暴露了43TB用戶和公司的機密數據。

本文翻譯自:bleepingcomputer.com/ne,如若轉載,請註明原文地址: 4hou.com/info/news/8385 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

【極棒】趙漢青:八九點鐘的太陽,照在他的身上
天使之火Angelfire:CIA入侵Windows系統的惡意軟體
實例講解如何繞過 Office 文檔的反分析技術
關於信息安全專業在大學是學什麼?

TAG:信息安全 |