新闻快讯
< >

云通讯公司Twilio曝“窃听者”漏洞数亿通话、短信数据或泄露

E安全11月13日讯 移动应用安全公司Appthority发现一个数据泄露漏洞“窃听者”(Eavesdropper),影响了近700个企业环境中使用的应用程序。

攻击者能访问Twilio账户中的所有元数据

Appthority指出,开发人员通过Twilio Rest API or SDK接口开发移动应用程序时使用了硬编码凭证。开发人员这样做能对云通讯公司Twilio账户中存储的所有元数据进行“全局访问”,包括短信息、通话元数据和录音。

云通讯公司 Twilio

Twilio是一个专注通讯服务的开放PaaS平台,它通过将复杂的底层通信功能打包成 API 并对外开放,让 web、桌面及移动应用可以方便地嵌入短信、语音及 VoIP 功能,从而实现云通信功能。企业可以直接通过他们的 API 接口接入语音和短信服务,无需运营商、无需进行复杂的通信认证审核、也无需添置和维护各种通信设备,所以极大地方便了企业和开发者。

Twilio创立于美国旧金山,其短信业务范围已覆盖 150 多个国家和地区,但电话服务仅可在 12 个国家适用。与Twilio有业务往来的科技公司分布多个行业。例如,共享经济创业公司Uber、Airbnb,即时通讯公司WhatsApp,云存储公司Box,SaaS公司Salesforce,电商eBay、Shopify,流媒体公司Hulu等等。利用这些平台提供的服务,WhatsApp用户可以通过电话号码查找好友,而Uber乘客则可以呼叫或发消息给司机。

中国也有类似的企业——中国的容联云通讯平台,其客户则包括BAT、京东、360、小米等等。

云通讯公司Twilio曝“窃听者”漏洞数亿通话、短信数据或泄露-E安全

企业iOS应用程序占比高

研究人员今年7月私下报告漏洞,他们发现685个企业应用程序(56%为iOS应用程序)与85个Twilio开发者账户关联。其中许多应用程序已从苹果和谷歌应用商店移除,但截至今年8月,仍有75和102应用程序分别挂在Google Play商店和苹果应用商店。

Appthority表示,受影响的安卓应用下载次数多达1.8亿次。约有33%的Eavesdropper应用程序是企业应用。这个问题自2011年一直存在,导致数亿通话记录、录音和短信暴露。攻击者可通过硬编码凭证对开发者Twilio账户中的元数据进行“全局访问”,包括信息、通话元数据和录音。

Appthority指出,Eavesdropper对企业数据构成严重威胁,因为攻击者可能会访问商业交易相关的保密信息,并利用这些数据进行勒索或牟取个人利益的行动。但鉴于这些应用程序的类型,企业很有可能通过这些电话讨论、谈判保密商业交易,Appthority称能查看其中的录音,别有用心的攻击分子可能会使用自动化工具将音频转换成文本,搜索特定关键词就能发现有价值的数据。

开发人员不良编码习惯导致该漏洞

Twilio在发送给Threatpost的声明中表示,硬编码API凭证并不是漏洞,而是不良的编码习惯。Appthority表示,攻击者首先可能需要找到暴露的企业应用程序(构建在Twilio上)。例如,攻击者可能会使用YARA规则搜索特定字符串,识别Twilio ID和令牌或密码验证开发者的身份。一旦获取了开发者账户的访问权,窃取通话和短信数据简直小菜一碟。

Appthority补充称,攻击者只需探测、利用并窃取数据。无需执行武器化操作或采取其它措施。一旦窃取了信息和音频文件,攻击者可运行简单的脚本将音频文件转换成文本,搜索关键词查找敏感数据。

Twilio方面表示已经通知了受影响的客户,并一直在与这些客户合作修改API密钥,并采取安全解决方案。目前未发现未经授权的一方访问这些数据。许多这些应用程序已停用。

相关阅读:

马来西亚通信与网络运营供应商超4600万用户敏感记录在线泄露
警告:船舶通信平台AmosConnect被曝后门和SQL注入漏洞
WiFi危机!KRACK攻击可劫持WPA2通信数据
潘建伟:中国量子通信技术未来10到15年将持续保持领先
瑞典数据通信公司Westermo多个工业级路由器存在高危漏洞

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。