Инструкция новичку Путеводитель по форуму Прокси для Telegram Показать подсказки , это бомба!

Проблема Eavesdropper делает возможным шпионаж через сотни приложений для iOS и Android

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.023
37
Проблема Eavesdropper делает возможным шпионаж через сотни приложений для iOS и Android



Специалисты Appthority Mobile Threat Team обнаружили серьезную проблему, связанную с использованием API компании Twilio, которая предоставляет свою облачную платформу сторонним разработчикам для осуществления различных коммуникаций (к примеру, голосовых вызовов и SMS-сообщений). Проблема получила название Eavesdropper («Соглядатай» или «Подслушивающий»).

Исследователи проанализировали более 1100 приложений для iOS и Android, использующих Twilio, и обнаружили, что 686 из них (44% Android, 56% iOS) содержат в коде жестко закодированные данные разработчиков, связанные с 85 девелоперскими аккаунтами Twilio. Сообщается, что в конце августа 2017 года 75 приложений были доступны в каталоге Google Play, а еще 102 можно было загрузить из App Store.

При этом большинство уязвимых решений ориентированы в первую очередь на организации. Некоторые из таких приложений используются как навигационные решения для клиентов AT&T и US Cellular, другие и вовсе применяются в качестве защищенных каналов связи правоохранительными органами. Суммарное количество установок уязвимых Android-приложений превышало 180 000 000.

Специалисты объясняют, что обнаружить в коде приложений жестко закодированные учетные данные от аккаунтов Twilio нетрудно, а обладая такой информацией, можно получить доступ к сотням миллионов SMS-сообщений записей голосовых вызовов, самим голосовым вызовам и так далее.

Эксперты подчеркивают, что винить инженеров Twilio не в чем: компания предоставляет разработчикам соответствующую всем нормам документацию, решения Twilio не содержат уязвимостей как таковых, и никто определенно не заставлял разработчиков «дырявых» приложений оставлять в коде учетные данные.

Хуже того, в своем отчете аналитики Appthority пишут, что помимо учетных данных от аккаунтов Twilio порядка 40% приложений также содержат учетные данные Amazon S3, из-за которых риску подвергаются более 22 000 бакетов, в том числе содержащие потенциально конфиденциальные данные.

Так как специалисты Appthority Mobile Threat Team обнаружили проблему еще в апреле 2017 года, к настоящему моменту инженеры Twilio уже ведут активную работу с разработчиками проблемных приложений, и отзыв «утекших» ключей API идет полных ходом.

Фото: Depositphotos
 
Ваш e-mail не будет опубликован. Он потребуется для подтверждения Вашего поста.
Оформление текста Нажмите «Ввод», чтобы отправить ответ.

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
338.378
Сообщения
361.153
Пользователи
25.853
Новый пользователь
Mendreak

Приложения форума для iOS и Android


У ркн там нет власти ;)
Гостевуха
Помощь Пользователи
  • K Chat Bot:
    Гость kkifkaa присоединился к комнате.
  • K (Гость) kkifkaa:
    Всем привет!
    Цитата
  • K (Гость) kkifkaa:
    mizaider тут есть?
    Цитата
  • K Chat Bot:
    Гость kkifkaa присоединился к комнате.
  • K (Гость) kkifkaa:
    Здравствуйте уважаемые члены форума. Подскажите пож-та, что можно сделать если я был заблокирован якобы за: «Вы были заблокированы по следующей причине: Копирование материалов на другие ресурсы». Самое страшное, то что тебя обвиняют и не дают возможность пообщаться и разобраться в причинах. Кстати в такой ситуации может быть каждый из нас. Вот так стараешься размещаешь тут материал, а тебя без разбирательств в бан. И нет возможности обратится в тех поддержку т.к. твой аккаут заблокирован. Подскажите пож-та, как можно связаться с администрацией, чтобы была проведена проверка? Сейчас я новичок и как раз в этот день для нас заливал на форум новые курсы (один залил, второй не успел). Я сначала подумал, что какой-то запрещений материал разместил, а потом понял, что меня обвинили в том, что я не делал.
    Цитата
  • K (Гость) kkifkaa:
    mizaider ты здесь помоги пожалуйста!
    Цитата
  • mizaider @ mizaider:
    Вопрос решен.
    Цитата
  • goodness @ goodness:
    Добрый вечер уважаемые форумчане!)
    Цитата
  • goodness @ goodness:
    Вопрос к администрации: Имеется одна точка доступа wifi на квартиру, вашим форумом пользуюсь пока что только я, но хотел бы зарегистрировать и свою девушку,
    Цитата
  • goodness @ goodness:
    система нас не забанит из-за того что мы с одной точки доступа но с разных устройств?
    Цитата
  • mizaider @ mizaider:
    Не забанит
    Цитата
  • Captain @ Captain:
    Батя в здание
    Цитата
  • 13SASHA13 @ 13SASHA13:
    Цитата
  • Uggi Chat Bot:
    Uggi покинул(а) комнату.
  • M Chat Bot:
    mr_robot_i2p покинул(а) комнату.
  • Captain @ Captain:
    Батя в здание
    Цитата
  • J Chat Bot:
    joker567 покинул(а) комнату.
  • Z Chat Bot:
    ztmm покинул(а) комнату.
    Z Chat Bot: ztmm покинул(а) комнату.