Até 180 milhões de proprietários de telefones celulares estão em risco de ter algumas de suas mensagens de texto e chamadas interceptadas por hackers por causa de um simples erro de codificação em pelo menos 685 aplicativos para dispositivos móveis, advertiu a empresa de segurança cibernética Appthority na quinta-feira.
Os desenvolvedores credenciaram codificações equivocadas para acessar os serviços fornecidos pela Twilio, disse o diretor de segurança da Appthority, Seth Hardy. Os hackers podem acessar essas credenciais, revisando o código nos aplicativos e, em seguida, obter acesso aos dados enviados por esses serviços, disse ele.
As descobertas destacam as novas ameaças colocadas pelo crescente uso de serviços de terceiros, como Twilio, que fornecem aplicativos móveis com funções como mensagens de texto e chamadas de áudio. Os desenvolvedores podem, inadvertidamente, introduzir vulnerabilidades de segurança se eles não codificam ou configurando corretamente esses serviços.
“Isso não se limita apenas a Twilio. É um problema comum em serviços de terceiros “, disse Hardy. “Muitas vezes percebemos que se cometerem um erro com um serviço, eles também o farão com outros serviços”.
Muitos aplicativos usam o Twilio para enviar mensagens de texto, processar chamadas telefônicas e lidar com outros serviços. Os hackers podem acessar dados relacionados se fizerem login nas contas do desenvolvedor no Twilio, disse Hardy.
Os erros foram causados por desenvolvedores, e não por Twilio, disse Hardy. O site da Twilio avisa que os desenvolvedores que deixam credenciais em aplicativos podem expor suas contas a hackers.
O porta-voz de Twilio, Trak Lord, disse que a empresa não tem provas de que hackers usassem credenciais codificadas em aplicativos para acessar dados de clientes, mas que estava trabalhando com desenvolvedores para alterar as credenciais em contas afetadas.
A vulnerabilidade afeta apenas chamadas e textos feitos dentro de aplicativos que usam serviços de mensagens da Twilio, incluindo alguns aplicativos de negócios para gravação de chamadas telefônicas, de acordo com o relatório da Appthority.
Credenciais para serviços back-end como Twilio são cobiçados por hackers porque os desenvolvedores geralmente reutilizam suas contas para criar vários aplicativos.
Em uma pesquisa de 1.100 aplicativos, a Appthority encontrou 685 aplicativos problemáticos que estavam ligados a 85 contas afetadas de Twilio. Isso sugere que o roubo de credenciais para a conta Twilio de um aplicativo pode representar uma ameaça à segurança para todos os usuários de até oito outras aplicações.
A Appthority disse que também avisou a Amazon que encontrou credenciais para pelo menos 902 contas de desenvolvedores com o fornecedor de serviços da nuvem Amazon Web Services em uma varredura de 20.098 dispositivos diferentes.
Essas credenciais podem ser usadas para acessar dados do usuário do aplicativo armazenados na Amazon, disse Hardy.
