Miss i hundratals chattappar gör dem busenkla att tjuvlyssna på

Inlagt av anonnkpg mån, 11/13/2017 - 00:36

En populär chattmodul från Twilio riskerar att läcka användarnas data. Forskare har upptäckt att nästan 700 appar implementerat tjänsten fel så att vem som helst kan tjuvlyssna på privata samtal och meddelanden.

Twilio bygger chattjänster som utvecklare kan stoppa in i sina appar. Men en ny rapport visar att många använt mjukvaran fel – och att hundratals miljoner slutanvändare får sota för det.

Säkerhetsfirman Appthority har upptäckt 685 appar som använder Twilios tjänster fel. Utvecklarna har av misstag lämnat sina inloggningsuppgifter i källkoden. Med hjälp av dem kan vem som helst logga in i Twilios system och läsa alla privata meddelanden och annan information som skickats via apparna.

”Vi kallar sårbarheten Eavesdropper eftersom utvecklarna i praktiken ger global tillgång till textmeddelanden, metadata om samtal och röstinspelningar från alla appar de skapat med sina inloggningsuppgifter [från Twilio]”, skriver Appthority i sin rapport.

Appthority har inte gått ut med en fullständig lista över drabbade appar, men Reuters nämner bland annat mjukvara från AT&T och ”fler än ett dussin” gps-appar från Telenav. De har installerats på uppemot 180 miljoner Android-enheter, och ett okänd antal Iphones och Ipads.

Firman upptäckte sårbarheten redan i juli och har sedan dess jobbat på att meddela utvecklarna om säkerhetsrisken. Många har sedan dess åtgärdat problemet, men det finns fortfarande runt 100 sårbara appar på App Store och Google Play respektive.

Säkerhetshålen orsakades av apputvecklare som använder Twilio, inte av bolaget själva. Men Twilios aktiekurs dök ändå med nästan sju procent efter att nyheten släpptes.

källa

Lägg till ny kommentar

Begränsad HTML

  • Tillåtna HTML-taggar: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Rader och stycken bryts automatiskt.
  • Webbadresser och e-postadresser görs automatiskt om till länkar.