Descubiertas 635 apps que muestra nuestros mensajes y llamadas por vulnerabilidad

La empresa de ciberseguridad Appthority ha desvelado la existencia de más de 600 apps para iOS y Android que pueden ser atacadas para mostrar mensajes privados y llamadas. El exploit que ataca a estas apps se llama Eavesdropper y podría haber perjudicado al menos unos 180 millones de teléfonos Android y en dispositivos iOS no se conoce número.

Hay 635 aplicaciones de alto riesgo que utilizan la API Twilio Rest o SDK para servicios de comunicación, incluyendo llamadas y mensajes. Su nombre,  Eavesdropper (escuchas) viene dado porque los desarrolladores han dado acceso a los mensajes de texto/SMS, metadatos de llamadas y grabaciones de voz de cada aplicación que han desenvuelto con las credenciales planteadas.

Twilio permite a los desarrolladores añadir dichas funciones en sus apps sin tener que escribir sus propios protocolos de comunicación. El problema es que algunos desarrolladores que usan estas API dejaron las credenciales de usuario codificadas dentro del código de la aplicación, por lo que un hacker puede acceder a sus comunicaciones privadas sin grandes esfuerzos.

Eavesdropper representa una gran amenaza para las empresas ya que Twilio se usa mucho en entornos corporativos. La debilidad facilita a los piratas informáticos de cara a acceder a la información privada de una compañía. No obstante, la investigación señala solo un 33% de las aplicaciones en cuestión estaban enfocadas a negocios.

Appthority descubrió la vulnerabilidad en abril, notificó a Twilio en julio, haciendo notar que 85 desarrolladores eran los responsables de las apps desprotegidas, y a finales de agosto, la cantidad de apps perjudicadas había menguado a 102 en la Apple Store y a 85 en Google Play. Appthority no publicó la lista completa de las aplicaciones aún activas.

 

VIA hipertextual.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *