首页>网络安全资讯>云通讯公司Twilio曝漏洞 数亿通话短信数据或泄露

云通讯公司Twilio曝漏洞 数亿通话短信数据或泄露

移动应用安全公司Appthority发现一个数据泄露漏洞“窃听者”(Eavesdropper),影响了近700个企业环境中使用的应用程序。

攻击者能访问Twilio账户中的所有元数据

Appthority指出,开发人员通过Twilio Rest API or SDK接口开发移动应用程序时使用了硬编码凭证。开发人员这样做能对云通讯公司Twilio账户中存储的所有元数据进行“全局访问”,包括短信息、通话元数据和录音。

云通讯公司Twilio

Twilio是一个专注通讯服务的开放PaaS平台,它通过将复杂的底层通信功能打包成 API 并对外开放,让 web、桌面及移动应用可以方便地嵌入短信、语音及 VoIP 功能,从而实现云通信功能。企业可以直接通过他们的 API 接口接入语音和短信服务,无需运营商、无需进行复杂的通信认证审核、也无需添置和维护各种通信设备,所以极大地方便了企业和开发者。

Twilio创立于美国旧金山,其短信业务范围已覆盖 150 多个国家和地区,但电话服务仅可在 12 个国家适用。与Twilio有业务往来的科技公司分布多个行业。例如,共享经济创业公司Uber、Airbnb,即时通讯公司WhatsApp,云存储公司Box,SaaS公司Salesforce,电商eBay、Shopify,流媒体公司Hulu等等。利用这些平台提供的服务,WhatsApp用户可以通过电话号码查找好友,而Uber乘客则可以呼叫或发消息给司机。

中国也有类似的企业——中国的容联云通讯平台,其客户则包括BAT、京东、360、小米等等。

企业iOS应用程序占比高

研究人员今年7月私下报告漏洞,他们发现685个企业应用程序(56%为iOS应用程序)与85个Twilio开发者账户关联。其中许多应用程序已从苹果和谷歌应用商店移除,但截至今年8月,仍有75和102应用程序分别挂在Google Play商店和苹果应用商店。

Appthority表示,受影响的安卓应用下载次数多达1.8亿次。约有33%的Eavesdropper应用程序是企业应用。这个问题自2011年一直存在,导致数亿通话记录、录音和短信暴露。攻击者可通过硬编码凭证对开发者Twilio账户中的元数据进行“全局访问”,包括信息、通话元数据和录音。

Appthority指出,Eavesdropper对企业数据构成严重威胁,因为攻击者可能会访问商业交易相关的保密信息,并利用这些数据进行勒索或牟取个人利益的行动。但鉴于这些应用程序的类型,企业很有可能通过这些电话讨论、谈判保密商业交易,Appthority称能查看其中的录音,别有用心的攻击分子可能会使用自动化工具将音频转换成文本,搜索特定关键词就能发现有价值的数据。

开发人员不良编码习惯导致该漏洞

Twilio在发送给Threatpost的声明中表示,硬编码API凭证并不是漏洞,而是不良的编码习惯。Appthority表示,攻击者首先可能需要找到暴露的企业应用程序(构建在Twilio上)。例如,攻击者可能会使用YARA规则搜索特定字符串,识别Twilio ID和令牌或密码验证开发者的身份。一旦获取了开发者账户的访问权,窃取通话和短信数据简直小菜一碟。

Appthority补充称,攻击者只需探测、利用并窃取数据。无需执行武器化操作或采取其它措施。一旦窃取了信息和音频文件,攻击者可运行简单的脚本将音频文件转换成文本,搜索关键词查找敏感数据。

Twilio方面表示已经通知了受影响的客户,并一直在与这些客户合作修改API密钥,并采取安全解决方案。目前未发现未经授权的一方访问这些数据。许多这些应用程序已停用。

相关资讯:

2016年底苹果iOS App强制使用HTTPS

6月14日在WWDC 2016开发者大会上,苹果宣布了一个最后期限:2017年1月1日起,苹果App Store中的所有App都必须启用 App Transport Security(ATS)安全...

如何排查APP服务端和客户端是否支持ATS

2017年1月1日起,苹果App Store中的所有App都必须启用 App Transport Security(ATS)安全功能。本文介绍如何排查APP服务端和客户端是否支持ATS。

浏览器和App的URL来源显示,存在安全风险

浏览器和App的URL来源显示,存在安全风险发布日期:2017-05-10 我们早些时候解释了“eliding”,这是一种视觉截断长URL以便适应地址栏长度的做法,以及...