当前位置:安全资讯 >> 全文

“窃听者”漏洞暴露数亿份私密会话

发布时间:2017-11-10 13:34 标签: API凭证,Twilio,硬编码
分享到 0

安全研究员发现数十名开发人员将API凭证遗留在基于云平台Twilio构建的数百款app中。

研究人员指出,攻击者能从易受攻击的app源代码中提取出这些凭证,并经由Twilio获取访问由这款app及其用户发送的会话和短消息。Twilio是一款云平台,能让第三方app通过编程的API/向多个电话提供商拨打电话并收发短信。

Appthority移动威胁团队 (MTT) 在今年四月份发现了含有硬编码的API凭证的app并于七月份告知TwilioTwilio随后通知app开发人员并跟他们一起撤销了被暴露的API密钥的访问权限。

共有685app含有硬编码的Twilio凭证

Appthority一直都在跟进这个代号为“窃听者 (Evasdropper)”的问题,这些app包含高度机密的数据。该团队发布报告指出,在跟85Twilio开发人员账户关联的超过685款企业app (安卓app44%iOS56%)中共发现了“窃听者”漏洞。截止到20178月末,其中75app还存在于GooglePlay中,而102app还存在于AppStore中。受影响安卓app的下载次数已达到1.8亿次。

受影响app泄露数亿份通话、文本信息

Appthority团队的研究结果显示,受影响app泄露了“数亿份通话记录、通话备忘录和音频记录以及文本消息。”大约三分之一的受影响app是企业app,能让攻击者访问高价值金融和商业通话和短信警告信息。

不过问题不仅限于商业app。例如,Appthority团队表示在一款联邦执法机构用于安全通信的app中发现了Twilio凭证,且在AT&TUS Cellular等公司客户使用的导航app中也发现了Twilio凭证。

App开发人员应担责

“窃听者”问题产生的原因是马虎的开发人员。过去已出现很多类似案例,开发人员将API和服务器凭证留在app源代码中而非将凭证存储在安全的远程数据库中。

Appthority在报告中也指出,研究人员发现了亚马逊S3服务器的类似凭证。今年年初发布的报告指出,在1.6万款安卓app中,2500款中含有某种凭证,通常属于TwitterDropboxInstagramSlackFlickr或亚马逊AWS

Appthority团队在今年5月份发布的另外一份报告中指出,被1000多款app用做后台的超过2.1万台Elasticsearch服务器并不安全,它暴露了43 TB大小的用户和公司数据。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/-eavesdropper-vulnerability-exposes-millions-of-private-conversations/
参与讨论,请先 登录 | 注册

用户评论