安全研究公司發現有近700個以雲端通訊軟體Twilio的語音及簡訊軟體開發工具包(SDK)或Rest API開發的企業通訊app出現漏洞,可導致高達上億用戶通訊內容外洩。
首先發現該漏洞的Appthority公司將稱之為Eavesdropper。研究人員Michael Bentley解釋,原本Twilio的SDK或Rest API是方便企業或開發人員開發通訊app時,不需自行撰寫通訊協定。然而卻有部份使用該API的開發人員將用戶帳密寫死在app程式碼中,這麼一來,使所有利用這些app傳送、儲存於 帳號的文字簡訊、通訊元資料、語音錄音檔全數對外公開,進而讓駭客得以竊聽到員工的健康隱私,或是公司交易資料、智財及業務機密而獲利。
研究人員強調,Eavesdropper漏洞並非Twilio的錯,而是出在開發人員未能遵循Twilio的API使用規定。,這類攻擊讓駭客不需破解用戶手機及電腦、不需入侵任何已知OS漏洞,或動用任何惡意程式即可達到竊密目的。攻擊者搜尋一下找到使用Twilio的app,使用VirusTotal 或YARA等工具尋找app內的Twilio ID及密碼,並運用特定手法即可存取該帳號的通訊資料。
Appthority是在今年4月發現Eavesdropper漏洞,並在7月通知Twilio資料外洩風險的app開發商。在其蒐集的1100多個app中,與85個Twilio開發者帳號相關而可能曝險的app 有685個,iOS及Android分別佔56%及44%,當中33%為企業用app。
截止8月底,其中75個已上傳到Google Play,App Store的iOS app有102個。而從下載人數來看,光是這些有問題的Android app總下載人次估計就高達1.8億次,而資料外洩最早可能溯及2011年。
最安全的解決之道是從app程式碼中移除寫死的Twilio帳密,並重設密碼。Appthority並未公佈這些app有哪些,因為該公司通知的開發商或企業都沒有回應,意謂著到現在可能仍然曝險中。
from iThome 新聞 http://ift.tt/2zum2Et
沒有留言:
張貼留言