导语:近日,研究人员发现,数十名开发人员已经在基于Twilio服务器构建的数百个应用程序中留下了API凭证。攻击者可以从易受攻击的应用程序源代码中提取这些证书,并通过Twilio(一种允许第三方应用程序拨打和接听电话的云平台)访问经由该应用
近日,研究人员发现,数十名开发人员已经在基于Twilio服务器构建的数百个应用程序中留下了API凭证。攻击者可以从易受攻击的应用程序源代码中提取这些证书,并通过Twilio(一种允许第三方应用程序拨打和接听电话的云平台)访问经由该应用程序及其用户发送的对话和SMS信息,以及通过编程API向各种电话提供商发送SMS信息。
今年4月,Appthority移动威胁团队(MTT)发现了这种具有硬编码Twilio API凭证的应用程序,并在7月份向Twilio通报了这个问题。之后,Twilio已经积极地与应用程序开发人员交流合作,共同撤销对暴露的API密钥的访问权限。
研究人员发现685个具有硬编码Twilio证书的应用程序
由于这些应用程序均包含高度敏感的数据资源,因此Appthority公司决定将此次发现的安全问题命名为“窃听者”(Eavesdropper)漏洞。
Appthority的安全团队在近日发布的一份报告中指出,
我们在85个Twilio开发者相关的账户中发现了超过685个应用程序存在‘窃听者’漏洞,其中44%属于Android系统,56%属于iOS系统。
该研究团队还进一步补充道,
截止2017年8月底,这些应用程序中已经有75个在Google Play中上架,另有102个在App Store中上架。据悉,受影响的Android应用程序已经被下载了高达1.8亿次。
受影响的应用程序泄漏数亿计的私人电话和短信信息
基于研究结果,Appthority的研究人员表示,此次漏洞的影响范围为“数以亿计的私人通话记录、通话录音以及短信记录等”。其中,大约1/3的受影响应用程序与企业相关,潜在的授予攻击者访问高度敏感的金融和商业电话及短信的机会。
但是,更糟糕的是,Appthority安全团队指出,此次安全问题不仅限于影响商业应用程序,例如,他们还在用于联邦执法机构安全通信的应用程序中找到了硬编码的Twilio证书,此外,受影响的还包括为AT&T和US Cellular等客户提供导航功能的应用程序。
应用程序开发者是罪魁祸首
“窃听者”安全问题存在的根本原因要归咎于粗心的应用程序开发者。过去,我们已经看到过很多类似的情况——应用程序开发人员将API和服务器凭证留在应用程序的源代码中,而没有将其存储在安全的远程数据库中。
此外,在Appthority发布的有关“窃听者”漏洞的安全报告中,研究人员也发现了亚马逊S3服务器存在类似的凭据。
根据今年早些时候发布的另一项研究报告中发现,在调查的16000个Android应用程序中,有2500个应用程序具有类似的凭据,这些应用程序通常用于Twitter、Dropbox、Instagram、Slack、Flickr或Amazon Web Services(AWS)等服务。
而在今年5月份,Appthority发布的另一个报告还发现,被大约1000个移动应用程序作为后端使用的超过21,000个Elasticsearch服务器没有任何安全防护措施保护,暴露了43TB用户和公司的机密数据。