移动应用编码错误暴露1.8亿手机的数据: 网络安全公司

网络安全公司Appthority周四警告说，至少685个应用程序中的一个简单编码错误使数百万智能手机用户面临被黑客拦截的一些电话和短信的风险。Appthority的安全研究总监Seth Hardy说，开发人员错误地编码了用于访问Twilio Inc提供的短信，通话和其他服务的凭据。他说，黑客可以通过查看应用程序中的代码来访问这些凭据，然后访问通过这些服务发送的数据。

受影响的应用程序包括预装在许多Android手机上的AT&T Navigator应用程序以及Telenav inc. 发布的十几个GpS导航应用程序。此类应用程序在Android手机上的安装次数多达1.8亿次，在Apple基于iOS的设备上的安装次数未知。在Appthority报告发布后，Twilio的股价下跌了近7%。黑客垂涎Twilio凭据，因为它们用于发送短信，处理电话和处理其他服务的各种应用程序中。Hardy说，如果黑客登录到开发人员的Twilio帐户，则可以访问相关数据。

Appthority谨慎地不要向潜在的黑客举报，并未列出所有可能易受攻击的应用程序。Twillio的网站表示，其用户包括Uber Technologies Inc和Netflix Inc。但是，像这样的大公司通常会进行安全审查，以捕获常见的编码错误，例如所描述的一个应用程序。没有迹象表明Uber或Netflix受到了该问题的影响。调查结果突显了Twilio等第三方服务的使用日益增加带来的新威胁，Twilio在其网站上表示，它为全球40,000多家企业的通信提供动力。如果开发人员未正确编码或配置此类服务，则可能会无意中引入安全漏洞。

“这不仅限于Twilio。这是第三方服务的普遍问题，“哈迪说。“我们经常注意到，如果他们在一项服务上出错，他们也会在其他服务上出错。”Appthority表示，它还警告Amazon.com Inc，它已经在扫描20,098种不同的应用程序中找到了至少902个与云服务提供商Amazon Web Services的开发人员帐户的凭据。Hardy说，这些凭据可用于访问存储在亚马逊上的应用程序用户数据。亚马逊的代表拒绝置评。

第三方服务的一个问题是，开发人员通常在多个应用程序之间使用相同的帐户，类似于消费者可能会使用一个电子邮件地址进行各种金融服务，并且如果黑客入侵该单个电子邮件帐户，则所有这些都可能存在欺诈问题。Appthority发现Twilio凭据已在AT&T Navigator映射和GpS应用程序的版本中公开。AT&T应用程序是最初由Telenav构建的应用程序的更名版本。Appthority发现，较新版本的AT&T应用程序似乎是安全的，但是如果相关应用程序的开发人员仍在使用相同的Twilio帐户，则通过它们发送的数据仍可能存在风险。它说，在其他十多个Telenav应用程序中发现了相同的Twilio凭据。

无法立即联系AT&T和Telenav发表评论。Hardy说，错误是由开发人员而不是Twilio造成的。Twilio的网站警告开发人员，在应用程序中保留凭据可能会使他们的帐户暴露给黑客。Twilio发言人Trak Lord表示，该公司没有证据表明黑客使用了编码到应用程序中的凭据来访问客户数据，但正在与开发人员合作更改受影响帐户的凭据。根据Appthority的报告，Twilio漏洞仅影响使用其消息传递服务的应用程序内部的通话和短信，包括一些用于记录电话呼叫的业务应用程序，例如Wrappup和RingDNA。Wrapup无法立即联系到RingDNA进行评论。

在对1,100个应用程序的调查中，appsority发现了685个问题应用程序，这些应用程序与85个受影响的Twilio帐户关联。这表明一个应用程序的Twilio帐户的凭据被盗可能会对多达八个其他应用程序的所有用户构成安全威胁。Twilio的股票收盘6.8% 下跌至25.93美元。在Twilio超出收入预期并在周三市场收盘后的收益报告中提高了其收入预期后，股价在盘前交易中上涨。