云通訊公司Twilio曝“竊聽者”漏洞數(shù)億通話、短信數(shù)據(jù)或泄露

責任編輯:editor004

2017-11-13 11:17:20

摘自:E安全

移動應用安全公司Appthority發(fā)現(xiàn)一個數(shù)據(jù)泄露漏洞“竊聽者”(Eavesdropper),影響了近700個企業(yè)環(huán)境中使用的應用程序。攻擊者可通過硬編碼憑證對開發(fā)者Twilio賬戶中的元數(shù)據(jù)進行“全局訪問”,包括信息、通話元數(shù)據(jù)和錄音。

移動應用安全公司Appthority發(fā)現(xiàn)一個數(shù)據(jù)泄露漏洞“竊聽者”(Eavesdropper),影響了近700個企業(yè)環(huán)境中使用的應用程序。

攻擊者能訪問Twilio賬戶中的所有元數(shù)據(jù)

Appthority指出,開發(fā)人員通過Twilio Rest API or SDK接口開發(fā)移動應用程序時使用了硬編碼憑證。開發(fā)人員這樣做能對云通訊公司Twilio賬戶中存儲的所有元數(shù)據(jù)進行“全局訪問”,包括短信息、通話元數(shù)據(jù)和錄音。

云通訊公司 Twilio

Twilio是一個專注通訊服務的開放PaaS平臺,它通過將復雜的底層通信功能打包成 API 并對外開放,讓 web、桌面及移動應用可以方便地嵌入短信、語音及 VoIP 功能,從而實現(xiàn)云通信功能。企業(yè)可以直接通過他們的 API 接口接入語音和短信服務,無需運營商、無需進行復雜的通信認證審核、也無需添置和維護各種通信設備,所以極大地方便了企業(yè)和開發(fā)者。

Twilio創(chuàng)立于美國舊金山,其短信業(yè)務范圍已覆蓋 150 多個國家和地區(qū),但電話服務僅可在 12 個國家適用。與Twilio有業(yè)務往來的科技公司分布多個行業(yè)。例如,共享經(jīng)濟創(chuàng)業(yè)公司Uber、Airbnb,即時通訊公司W(wǎng)hatsApp,云存儲公司Box,SaaS公司Salesforce,電商eBay、Shopify,流媒體公司Hulu等等。利用這些平臺提供的服務,WhatsApp用戶可以通過電話號碼查找好友,而Uber乘客則可以呼叫或發(fā)消息給司機。

中國也有類似的企業(yè)——中國的容聯(lián)云通訊平臺,其客戶則包括BAT、京東、360、小米等等。

云通訊公司Twilio曝“竊聽者”漏洞數(shù)億通話、短信數(shù)據(jù)或泄露-E安全

企業(yè)iOS應用程序占比高

研究人員今年7月私下報告漏洞,他們發(fā)現(xiàn)685個企業(yè)應用程序(56%為iOS應用程序)與85個Twilio開發(fā)者賬戶關聯(lián)。其中許多應用程序已從蘋果和谷歌應用商店移除,但截至今年8月,仍有75和102應用程序分別掛在Google Play商店和蘋果應用商店。

Appthority表示,受影響的安卓應用下載次數(shù)多達1.8億次。約有33%的Eavesdropper應用程序是企業(yè)應用。這個問題自2011年一直存在,導致數(shù)億通話記錄、錄音和短信暴露。攻擊者可通過硬編碼憑證對開發(fā)者Twilio賬戶中的元數(shù)據(jù)進行“全局訪問”,包括信息、通話元數(shù)據(jù)和錄音。

Appthority指出,Eavesdropper對企業(yè)數(shù)據(jù)構(gòu)成嚴重威脅,因為攻擊者可能會訪問商業(yè)交易相關的保密信息,并利用這些數(shù)據(jù)進行勒索或牟取個人利益的行動。但鑒于這些應用程序的類型,企業(yè)很有可能通過這些電話討論、談判保密商業(yè)交易,Appthority稱能查看其中的錄音,別有用心的攻擊分子可能會使用自動化工具將音頻轉(zhuǎn)換成文本,搜索特定關鍵詞就能發(fā)現(xiàn)有價值的數(shù)據(jù)。

開發(fā)人員不良編碼習慣導致該漏洞

Twilio在發(fā)送給Threatpost的聲明中表示,硬編碼API憑證并不是漏洞,而是不良的編碼習慣。Appthority表示,攻擊者首先可能需要找到暴露的企業(yè)應用程序(構(gòu)建在Twilio上)。例如,攻擊者可能會使用YARA規(guī)則搜索特定字符串,識別Twilio ID和令牌或密碼驗證開發(fā)者的身份。一旦獲取了開發(fā)者賬戶的訪問權(quán),竊取通話和短信數(shù)據(jù)簡直小菜一碟。

Appthority補充稱,攻擊者只需探測、利用并竊取數(shù)據(jù)。無需執(zhí)行武器化操作或采取其它措施。一旦竊取了信息和音頻文件,攻擊者可運行簡單的腳本將音頻文件轉(zhuǎn)換成文本,搜索關鍵詞查找敏感數(shù)據(jù)。

Twilio方面表示已經(jīng)通知了受影響的客戶,并一直在與這些客戶合作修改API密鑰,并采取安全解決方案。目前未發(fā)現(xiàn)未經(jīng)授權(quán)的一方訪問這些數(shù)據(jù)。許多這些應用程序已停用。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號