Mobile apps lækker data med adgang til SMS'er og samtaler

En række udviklere har anvendt platformen Twilio på en usikker måde, så uvedkommende kan få adgang til telefonsamtaler og SMS'er.

Sikkerhedsfirmaet Appthority har opdaget, at 85 udviklerkonti på tjenesten Twilio har lagt deres brugernavn og password ind i de apps, de har udviklet. Dermed kan uvedkommende få adgang til de data, appen sender gennem Twilio.

Twilio er en cloud-tjeneste, der lader apps ringe, modtage opkald og udveksle SMS'er via forskellige telefoni-udbydere.

Appthority opdagede sårbarheden i april. De analyserede over 1.000 apps, hvoraf 685 havde sårbarheden. Både Android og iOS er berørt.

En række af appsene er fjernet, men 75 findes fortsat på Google Play og 102 på App Store.

Twilio oplyser, at firmaet anbefaler, at man ikke lagrer brugernavn og password i apps. De er i kontakt med de berørte udviklere for at lukke sikkerhedshullet.

Twilio kender ikke til eksempler på, at sårbarheden har været udnyttet til at få adgang til fortrolig information.

Anbefaling

Udviklere bør følge anbefalinger om best practices for håndtering af API-logins.

Links