La empresa de ciberseguridad Appthority ha revelado el hallazgo de más de 600 aplicaciones para iOS y Android que pueden ser vulneradas para mostrar mensajes privados y llamadas. El exploit llamado Eavesdropper podría haber afectado al menos unos 180 millones de teléfonos Android y a un número desconocido de dispositivos iOS.

De acuerdo con el post de Michael Bentley en el blog de la compañía, Appthority descubrió 635 aplicaciones de alto riesgo que utilizan la API Twilio Rest o SDK para servicios de comunicación, incluyendo llamadas y mensajes. En el texto destaca:

La vulnerabilidad se llama Eavesdropper porque los desarrolladores han efectivamente dado acceso global a los mensajes de texto/SMS, metadatos de llamadas y grabaciones de voz de cada aplicación que han desarrollado con las credenciales expuestas.

Esto se debe a que Twilio permite a los desarrolladores añadir dichas funciones en sus aplicaciones sin tener que escribir sus propios protocolos de comunicación. El problema es que algunos desarrolladores que usan estas API dejaron las credenciales de usuario codificadas dentro del código de la aplicación, por lo que un hacker puede acceder a sus comunicaciones privadas sin grandes esfuerzos.

Eavesdropper representa una gran amenaza para las empresas, señala Bentley, ya que Twilio es generalmente usada en entornos corporativos. La vulnerabilidad podría hacer que la información privada de una compañía sea fácilmente accesible para los piratas informáticos. No obstante, la investigación señala solo un 33% de las aplicaciones en cuestión estaban enfocadas a negocios.

La firma de investigación descubrió por primera vez la vulnerabilidad en abril y notificó a Twilio en julio, señalando que 85 desarrolladores eran responsables de las aplicaciones desprotegidas. A finales de agosto, la cantidad de aplicaciones afectadas había disminuido a 102 en la Apple Store y 85 en Google Play. Appthority no publicó la lista completa de las aplicaciones aún activas.

Dejar respuesta