A empesa de segurança Appthority, em uma de suas varreduras, constatou que aproximadamente 700 aplicativos de mensagens instantâneas para Android e iOS estavam expondo a identidade de seus usuários, assim como o conteúdo de suas mensagens.

A princípio, o motivo seria uma brecha simples dentro do código do aplicativo que permitia acesso as credenciais do desenvolvedor. Desta forma, era possível acompanhar todo tráfego de conversas.

Falhas na API para mensageiros
Falhas na API para mensageiros

De acordo com o Appthority, estes apps utilizavam a API para mensageiros do Twilio, que seria o responsável pela brecha. Desenvolvedores costumam utilizar este recurso para não desenvolver protocolos de comunicação partindo do zero. Foram cerca de 685 apps disponibilizados na Apps Store e na Google Play com a respectiva vulnerabilidade.

Michael Bentley, da Appthority disse "A vulnerabilidade foi batizada de Eavesdropper (espião ou bisbilhoteiro em português) porque os desenvolvedores efetivamente deram acesso global a mensagens, metadados de chamadas de voz e a gravações em todos os apps que eles criaram com as credenciais expostas no código".

Brecha no código
Brecha no código

A situação pode ser crítica, uma vez que um terço de todos os apps afetados eram corporativos. Sendo assim, diversas empresas poderiam ter sido espionadas através de suas próprias ferramentas de comunicação.

No entanto, o Twilio afirma que não há vestígios de exploração de criminosos. Mas após ser notificado sobre a falha, o serviço atualizou sua API para correção.