写于 2017-09-01 02:17:15| 博彩娱乐平台| 金融

安全研究人员警告称,数百个应用程序中发生的简单编码错误可能会使多达1.8亿智能手机用户暴露其黑客截获的短信和电话对话

该警告来自网络安全公司Appthority的专家,他们发现一个错误,困扰多达685个移动应用程序 - 包括一个用于联邦执法机构的安全通信 - 并允许黑客访问通过受影响的应用程序发送的用户数据

该问题被称为Eavesdropper,源于使用Twilio的应用程序编程接口(API)

API需要身份验证,一些开发人员将API的凭据硬编码到移动应用程序中 - 这是一种沮丧的编码实践,可以将应用程序打开到窃听者漏洞

新闻周刊将于12月6日至7日在纽约举行的资本市场会议上主持AI和数据科学

照片:新闻周刊媒体组当凭证硬编码到应用程序中时,攻击者可能会通过检查应用程序的代码来劫持这些凭据

使用被盗的凭证,黑客可以绕过身份验证检查并窃取Twilio和其他第三方服务处理的用户数据

由于Twilio通常用于处理移动应用程序中的文本消息和音频呼叫,因此该漏洞会使用户可能会劫持消息,呼叫记录或监视他们的对话

出于多种原因,窃听者是一个特别棘手的问题

首先,大多数用户可能不知道他们的移动应用程序使用什么API来处理文本和电话等特定功能,因此普通人不太可能发现他们使用的应用程序是否容易受到攻击

其次,这个问题与Twilio或它的API无关;这是一个完全由应用程序开发人员创建的问题

如果他们硬编码凭证,无论是出于意外还是出于懒惰或恶意行为,那么用户就会遭受损失

更麻烦的是,一个开发人员的错误可能会影响许多不同的应用程序

Appthority在685个与85个受影响的Twilio帐户相关联的应用程序中发现了问题,这表明黑客可以从一个应用程序窃取凭据,并可能使用它来破坏其他一些应用程序

研究人员还警告说,至少有902个app开发者帐户使用的凭据存储在Amazon Web Services服务器中

凭证可能用于访问存储在Amazon服务器上的应用和用户数据

超过170个易受窃听者攻击的应用仍然存在于应用商店中,包括Google Play商店和Apple的App Store

面临风险的是一款适用于企业销售团队的应用程序,可以为AT&T和美国移动电话的客户实时记录和注释讨论以及品牌导航应用

Twilio表示,该公司没有发现任何证据表明Eavesdropper漏洞已被利用,或黑客利用硬编码到应用程序中的凭据来劫持用户数据,但正在与开发人员合作更改受影响帐户的凭据