Ένα απλό σφάλμα συγγραφής κώδικα σε τουλάχιστον 685 εφαρμογές για κινητά τηλέφωνα προκαλεί πρωτφανείς κινδύνους.
Έως και 180 εκατομμύρια ιδιοκτήτες smartphone κινδυνεύουν από χάκερ που μπορούν να παραβιάσουν γραπτά μηνύματα και κλήσεις, σύμφωνα με το Reuters.
Ο λόγος; Ένα απλό σφάλμα συγγραφής κώδικα σε τουλάχιστον 685 εφαρμογές για κινητά τηλέφωνα, όπως προειδοποίησε η εταιρεία κυβερνοασφάλειας Appthority την Πέμπτη.
Κάποιοι developers κατά λάθος έγραψαν στον κώδικα διαπιστευτήρια για την αξιολόγηση υπηρεσιών που παρέχονται από το Twilio, είπε ο Seth Hardy, διευθυντής έρευνας ασφαλείας της Appthority.
Οι χάκερ θα μπορούσαν να έχουν πρόσβαση σε αυτά τα διαπιστευτήρια τσεκάροντας τον κώδικα στις εφαρμογές και αποκτώντας, στη συνέχεια, πρόσβαση σε δεδομένα που στέλνονται με αυτές τις υπηρεσίες, ανέφερε ο ίδιος.
Τα ευρήματα σκιαγραφούν κάποιες νέες απειλές που τίθενται από την αυξανόμενη χρήση υπηρεσιών τρίτων μερών όπως το Twilio, οι οποίες παρέχουν στις κινητές εφαρμογές λειτουργίες όπως η αποστολή μηνυμάτων και οι τηλεφωνικές κλήσεις.
Οι developers μπορεί ακούσια να εισάγουν ευπάθειες ασφαλείας αν δεν εγγράψουν ορθά τον κώδικα τέτοιων υπηρεσιών.
«Όλο αυτό δεν περιορίζεται στο Twilio. Πρόκειται για ένα κοινό πρόβλημα που αφορά διάφορες υπηρεσίες τρίτων μερών» είπε ο Hardy. «Συχνά παρατηρούμε ότι αν κάνουν ένα σφάλμα με μια υπηρεσία, θα το κάνουν και με άλλες υπηρεσίες επίσης».
Πολλές εφαρμογές χρησιμοποιούν το Twilio για την αποστολή γραπτών μηνυμάτων, τη διαχείριση τηλεφωνικών κλήσεων, και άλλες υπηρεσίες. Οι χάκερ μπορεί να αποκτήσουν πρόσβαση στα σχετικά δεδομένα αν μπουν στους λογαριασμούς των developers στο Twilio, είπε ο Hardy.
Τα σφάλματα προκλήθηκαν από developers, όχι απ’ το Twilio, είπε ο Hardy. Η ιστοσελίδα του Twilio προειδοποιεί τους developers ότι το να αφήνουν διαπιστευτήρια σε εφαρμογές θα μπορούσε να εκθέσει τους λογαριασμούς τους σε χάκερ.
Ο εκπρόσωπος του Twilio, Trak Lord, είπε ότι η εταιρεία δεν διαθέτει στοιχεία σύμφωνα με τα οποία οι χάκερ χρησιμοποίησαν διαπιστευτήρια γραμμένα σε εφαρμογές για να αποκτήσουν πρόσβαση σε δεδομένα καταναλωτών. Παράλληλα, όμως, ανέφερε ότι η εταιρεία συνεργάζεται με developers για να αλλάξουν τα διαπιστευτήρια στους λογαριασμούς που επηρεάστηκαν.
Η ευπάθεια επηρεάζει μόνο κλήσεις και μηνύματα που πραγματοποιούνται μέσω εφαρμογών που χρησιμοποιούν υπηρεσίες αποστολής μηνυμάτων από το Twilio, συμπεριλαμβανομένων κάποιων επιχειρηματικών εφαρμογών για την ηχογράφηση τηλεφωνικών κλήσεων, σύμφωνα με την έκθεση της Appthority.
Σε μια έρευνα 1.100 εφαρμογών, η Appthority βρήκε 685 προβληματικές εφαρμογές που συνδέονταν με 85 πληγέντες λογαριασμούς Twilio. Αυτό δείχνει ότι η κλοπή διαπιστευτηρίων για τον λογαριασμό Twilio μιας εφαρμογής μπορεί να συνιστά απειλή ασφαλείας για όλους τους χρήστες έως και οχτώ άλλων εφαρμογών.