移动安全公司Appthority发现了一个iOS和Android应用程序出现新漏洞数以百万计的短信、电话和语音记录泄露。

该漏洞被命名为窃听者,可以被黑客但是这个漏洞的责任落在粗心的开发人员身上。

窃听器会做什么?

在关于窃听者漏洞的报告中,Appthority指出,该漏洞使黑客能够访问近700个iOS和Android应用程序的短信、电话和语音记录。

大约33%的应用程序与商业相关,目前超过170个可用在苹果的应用商店和谷歌Play商店。受影响的Android应用程序的下载次数高达1.8亿次,而受影响的iOS应用程序的下载次数未知。

有窃听者漏洞的应用程序包括一个用于联邦执法机构内部安全通信的应用程序,一个允许公司销售团队对讨论进行录音和实时注释的应用程序,以及为AT&T和U.S. Cellular等客户提供的品牌和白色标签导航应用程序。

窃听者漏洞是一个主要的漏洞,因为它很容易被黑客利用。黑客利用漏洞获取的信息也增加了问题的严重性,因为他们可以获得有关公司机密事项的机密信息。

粗心的开发人员被指责窃听漏洞

窃听者漏洞不需要越狱或在智能手机上安装根程序,不会利用操作系统中的漏洞,也不会通过安装恶意软件

相反,窃听者是由粗心的开发人员造成的,他们没有遵循云通信平台Twilio的安全指导方针。Twilio Rest API或SDK允许开发人员轻松地在他们的应用程序中添加消息和呼叫功能。然而,一些使用API的开发人员留下这将允许黑客访问存储在他们Twilio账户中的所有元数据。这包括通过受感染的应用程序进行的所有通信。

Appthority在4月份发现了窃听者,并在5月份告诉了Twilio。Twilio从那以后伸出给受影响应用程序背后的开发人员,并帮助他们应用必要的安全协议。

然而,这家移动安全公司警告说,这个问题可能不仅限于用Twilio创建的应用程序。它声称,证书的硬编码是一个常见的开发人员错误,所以由粗心的开发人员制作的其他应用程序也可能存在一些安全问题。

corbero万博体育登录首页 2023 TECHTIMES.com版权所有。未经允许,请勿转载。