Brecha na segurança afeta aproximadamente 700 mensageiros para Android e iOS

Os apps utilizavam a API para mensageiros do Twilio, que seria o responsável pela brecha.

Por | @fsbeling Segurança digital

A empesa de segurança Appthority, em uma de suas varreduras, constatou que aproximadamente 700 aplicativos de mensagens instantâneas para Android e iOS estavam expondo a identidade de seus usuários, assim como o conteúdo de suas mensagens.

A princípio, o motivo seria uma brecha simples dentro do código do aplicativo que permitia acesso as credenciais do desenvolvedor. Desta forma, era possível acompanhar todo tráfego de conversas.

Falhas na API para mensageirosFalhas na API para mensageiros

Leia também:

De acordo com o Appthority, estes apps utilizavam a API para mensageiros do Twilio, que seria o responsável pela brecha. Desenvolvedores costumam utilizar este recurso para não desenvolver protocolos de comunicação partindo do zero. Foram cerca de 685 apps disponibilizados na Apps Store e na Google Play com a respectiva vulnerabilidade.

Michael Bentley, da Appthority disse “A vulnerabilidade foi batizada de Eavesdropper (espião ou bisbilhoteiro em português) porque os desenvolvedores efetivamente deram acesso global a mensagens, metadados de chamadas de voz e a gravações em todos os apps que eles criaram com as credenciais expostas no código”.

Brecha no códigoBrecha no código

A situação pode ser crítica, uma vez que um terço de todos os apps afetados eram corporativos. Sendo assim, diversas empresas poderiam ter sido espionadas através de suas próprias ferramentas de comunicação.

No entanto, o Twilio afirma que não há vestígios de exploração de criminosos. Mas após ser notificado sobre a falha, o serviço atualizou sua API para correção.

Mais sobre: aplicativos apps Twilio
Share Tweet
Recomendado
Comentários
Destaquesver tudo
  • ASSINE NOSSA NEWSLETTER

    As melhores publicações no
    seu e-mail

  • Preencha para confirmar