Af Torben B. Sørensen, 10/11/17
Sikkerhedsfirmaet Appthority har opdaget, at 85 udviklerkonti på tjenesten Twilio har lagt deres brugernavn og password ind i de apps, de har udviklet. Dermed kan uvedkommende få adgang til de data, appen sender gennem Twilio.
Twilio er en cloud-tjeneste, der lader apps ringe, modtage opkald og udveksle SMS'er via forskellige telefoni-udbydere.
Appthority opdagede sårbarheden i april. De analyserede over 1.000 apps, hvoraf 685 havde sårbarheden. Både Android og iOS er berørt.
En række af appsene er fjernet, men 75 findes fortsat på Google Play og 102 på App Store.
Twilio oplyser, at firmaet anbefaler, at man ikke lagrer brugernavn og password i apps. De er i kontakt med de berørte udviklere for at lukke sikkerhedshullet.
Twilio kender ikke til eksempler på, at sårbarheden har været udnyttet til at få adgang til fortrolig information.
Anbefaling
Udviklere bør følge anbefalinger om best practices for håndtering af API-logins.
Links
- Eavesdropper: How a Mobile Developer Error is Exposing Millions of Conversations, Appthority
- "Eavesdropper" Vulnerability Exposes Millions of Private Conversations, artikel fra Bleeping Computer
- Eavesdropper Vulnerability Exposes Mobile Call, Text Data, artikel fra Kaspersky Threatpost
- Twilio Credentials Hardcoded in Mobile Apps Expose Calls, Texts, artikel fra SecurityWeek