Global Preloader
Vulnerabilidad
(10/Nov/2017) Vulnerabilidad expone llamadas y datos en teléfonos móviles

Vulnerabilidad expone llamadas y datos en teléfonos móviles

Los desarrolladores de aplicaciones móviles que codifican utilizando la plataforma basada en la nube de Twilio y olvidan eliminar sus credenciales codificadas han puesto a los datos de mensajería empresarial en riesgo de exposición. La llamada vulnerabilidad Eavesdropper, divulgada hoy por Appthority, ha existido desde 2011 y en aplicaciones descargadas probablemente más de 200 millones de veces.

Los investigadores informaron en privado el error en julio; encontraron 685 aplicaciones empresariales (el 56 por ciento de ellas aplicaciones iOS) vinculadas a 85 cuentas de desarrollador de Twilio. Muchas de las aplicaciones se han eliminado de las respectivas tiendas de Apple y Google, pero a partir de agosto, 75 aún permanecían en Google Play y 102 en la tienda de aplicaciones.

"Las aplicaciones de Android afectadas se habían descargado hasta 180 millones de veces", dijo Appthority. "Aproximadamente el 33 por ciento de las aplicaciones de Eavesdropper encontradas están relacionadas con el negocio. La exposición ha estado presente desde 2011. El alcance de la exposición es masivo, incluyendo cientos de millones de registros de llamadas, minutos de llamadas y grabaciones de audio, y mensajes de texto".

Appthority dijo que las credenciales codificadas ofrecen a los atacantes "acceso global" a los metadatos en las cuentas Twilio de los desarrolladores, incluidos los mensajes de texto, metadatos de llamadas y grabaciones.

"Un atacante con herramientas automatizadas para convertir el audio en texto y buscar palabras clave específicas seguramente será recompensado con datos valiosos", dijo Appthority.

Appthority dijo que un atacante primero necesitaría encontrar aplicaciones empresariales expuestas basadas en Twilio; algunos se comercializan como tales. Usando una regla YARA, por ejemplo, un atacante podría buscar cadenas específicas para identificar los ID de Twilio y los tokens o contraseñas que autentican al desarrollador en la plataforma. Una vez que tuvo acceso a una cuenta, Appthority dijo que sería trivial exfiltrar los datos de llamadas y mensajes.

Twilio dijo que ha notificado a cada cliente con una aplicación identificada por Appthority y ha estado trabajando con ellos para rotar sus claves API e implementar soluciones seguras, dijo Twilio.

A principios de este año, Appthority reveló la vulnerabilidad de Hospital Gown, que estaba vinculada a la falla de los desarrolladores para asegurar que los servidores back-end se comuniquen con las aplicaciones móviles. Muchos de esos servidores se encuentran en plataformas como Elasticsearch, MongoDB y MySQL. Appthority dijo que encontró 21,000 servidores expuestos de Elasticsearch y 43 terabytes de datos expuestos.