Apps, die die Twillo REST-API unter iOS oder Android verwenden, verraten u.U. vertrauliche Daten an Angreifer. Das haben Sicherheitsforscher jetzt herausgefunden.
Anzeige
Das größte Sicherheitsrisiko sind (neben dem Nutzer) immer noch die App-Entwickler. Diese setzen häufig auf Frameworks oder Bibliotheken und Dienste von Fremdanbietern. Der Anbieter twilio.com bietet eine REST-API für App-Entwickler an, über die diese Sprach- und Videokommunikation in ihren Apps integrieren können.
Nun haben Sicherheitsforscher einmal eine Reihe von Apps, die Twilio verwenden, analysiert. Dabei haben sich erschreckende Erkenntnisse aufgetan. Hunderte Apps ignorieren die Hinweise von Twilio, dass Anmeldeberechtigungen (Credentials) zu schützen sind. Stattdessen sind diese ungeschützt fest in der App implementiert. Fängt ein Angreifen die Anmeldeberechtigungen (Credentials) ab, erhält er Zugriff auf die über Twilio versandten Daten. Dazu braucht er die Kommunikation lediglich auf die Anmelde-Credentials zu durchsuchen.
(Quelle: appthority)
Sicherheitsforscher von appthority haben das in einem Blog-Beitrag dokumentiert und die Angriffsmethode als Eavesdropper bezeichnet. Das Problem wurde im April 2017 erstmals entdeckt, und auch Twilio wurde im Juli über das Problem informiert. Laut eigenen Angaben wurden über 685 Unternehmens-Apps (44% Android, 56% iOS), die mit 85 Twilio-Entwicklerkonten in Verbindung standen, als per Eavesdropper angreifbar entdeckt.
Ende August 2017 waren 75 dieser Apps auf Google Play und 102 im [Apple] App Store verfügbar. Die betroffenen Android-Apps wurden bis zu 180 Millionen Mal heruntergeladen. Ungefähr 33% der gefundenen Eavesdropper-Anwendungen sind geschäftlich in Verwendung. Das Problem existiert übrigens seit 2011. Der Umfang der gefährdeten Datensätze ist gewaltig und umfasst Hunderte von Millionen Anrufaufzeichnungen, sowie Millionen Minuten von Anrufen, Audioaufnahmen und Textnachrichten. (via)
2015
