原标题:开发不慎,1.8亿用户受害!近700个用Twilio API的通讯App外泄通讯内容
安全研究公司发现有近700个以云端通讯软件Twilio的语音及简讯软件开发工具包(SDK)或Rest△API开发的企业通讯app出现漏洞,可导致高达上亿用户通讯内容外泄。
首先发现该漏洞的Appthority公司将称之为Eavesdropper。研究人员Michael△Bentley解释,原本Twilio的SDK或Rest△API是方便企业或开发人员开发通讯app时,不需自行撰写通讯协议。然而却有部份使用该API的开发人员将用户帐密写死在app程式码中,这么一来,使所有利用这些app传送、储存于 帐号的文字简讯、通讯元资料、语音录音档全数对外公开,进而让骇客得以窃听到员工的健康隐私,或是公司交易资料、智财及业务机密而获利。
研究人员强调,Eavesdropper漏洞并非Twilio的错,而是出在开发人员未能遵循Twilio的API使用规定。,这类攻击让骇客不需破解用户手机及电脑、不需入侵任何已知OS漏洞,或动用任何恶意程式即可达到窃密目的。攻击者搜寻一下找到使用Twilio的app,使用VirusTotal△或YARA等工具寻找app内的Twilio△ID及密码,并运用特定手法即可存取该帐号的通讯资料。
Appthority是在今年4月发现Eavesdropper漏洞,并在7月通知Twilio资料外泄风险的app开发商。在其搜集的1100多个app中,与85个Twilio开发者帐号相关而可能曝险的app△有685个,iOS及Android分别占56%及44%,当中33%为企业用app。
截止8月底,其中75个已上传到Google△Play,App△Store的iOS△app有102个。而从下载人数来看,光是这些有问题的Android△app总下载人次估计就高达1.8亿次,而资料外泄最早可能溯及2011年。
最安全的解决之道是从app程式码中移除写死的Twilio帐密,并重设密码。Appthority并未公布这些app有哪些,因为该公司通知的开发商或企业都没有回应,意谓着到现在可能仍然曝险中。
相关:
维护用户上网体验,明年1月Chrome 64将开始拦截恶意的自动转向
示意图,与新闻事件无关。 图片来源: Google Google周三(11/8)宣布,为了避免Chrome用户遭遇垃圾内容或不适当的行为,计划于未来几个Chrome版本新增3项保护机制,其中,预计于明年1月23日出炉的Chrome△64将会拦
我酷新闻网记者苏元和/台北报道OTT串流影音竞争白热化,运用创新模式抢影音市场版图大战开打,KKTV与KKStream齐心致力优化数据分析技术,并开放真实观影资料,广邀科技菁英与数据分析好手,参与年度赛事KKTVDataGam
我酷新闻网记者苏元和/台北报道国家通讯传播委员会(NCC)今(8日)决议核配台湾大哥大及中华电信行动宽频业务4G用户门号各50万门。4G用户成长速度极快,从2015年起,4G用户以每季164万的速度成长,至今年9月已达2,169万
【临时维护公告】为了加强外挂的严厉打击和防治,11月9日(周四)北京时间上午10点-11点将进行临时维护。维护时间:11月9日10:00-11:00维护方式:停机维护维护内容:外挂相关机制更新注:维护时玩家可能遇到无法登陆的
示意图,与新闻事件无关。 图片来源: Apple 苹果今年年中宣布的点对点(P2P)转帐功能Apple△Pay△Cash现在正式开放美国地区iPhone消费者测试。?Apple△Pay△Cash是苹果今年公布iOS△11的新增功能之一,让iPhone用