Twilio服务“窃听”漏洞数据泄露事件

      “窃听”漏洞是企业移动威胁保护公司 Appthority 的研究人员发现的一种新的危险漏洞，该漏洞存在于Twilio服务API当中。根据他们的发现, 到目前为止, 该漏洞影响了大约 700 iOS 和 Android安卓应用程序, 导致大量敏感的移动数据发生 数据泄露 。据报道, 数以百万计的电话、录音和短信被曝光。“窃听”漏洞被认为是一个严重的威胁。

Twilio服务是什么

      知乎上 张十三 朋友的回答如下：

          Twilio是一个专注通讯服务的开放PaaS平台、是一个提供技术能力的网站，也是美国较为知名的云计算通讯服务类的初创企业。

          Twilio通过将复杂的底层通信功能打包成 API 并对外开放，让 web、桌面及移动应用可以方便地嵌入短信、语音及 VoIP 功能，从而实现云通信的功能。

Twilio的业务模式是怎样的？

短信类服务 
      举例来说明 Twilio 的作用。比方说你开发了一项服务，该服务每天会向用户发送一条与自己宠物有关的短信（短信仍然是最有效最普及的渠道）。但是考虑到这些用户从属于不同的运营商，所以要想实现这一点你需要针对不同运营商的短信网关做接口，因此这件事情仍然非常麻烦。但是通过 Twilio 几行代码就可以搞定。

VoIP语音通话类服务 
      举例来说，如果商务社交网站LinkedIn想要加入新功能，让用户可以与其他用户进行网络语音通话。那么，在Twilio Client的帮助下，LinkedIn可以轻易加入该功能：点击某个好友的网名旁的一个按钮，对方就可以看到弹出窗口，询问是否愿意接通，通话将通过 Twilio公司的网络电话线路进行。Skype或许也可以提供此类服务，但恐怕只会向特别合作伙伴提供，而Twilio的新功能是任何应用都可以采用 的。

“窃听”漏洞是因为程序员硬编码了访问凭据

      虽然“窃听”漏洞是在4月发现的, 但根据安全专家表示, 这个漏洞从 2011年以来就出现了, 30-33% 受影响的应用程序是与业务相关。正如研究人员指出, 有许多重要的应用程序, 联邦执法机构也在用, 另外一个方面，企业销售团队也会使用这些程序进行实时讨论，这些讨论过程中的录音有可能被记录下来。研究人员在一篇博文中写道。

"曝光的范围实在是太大了, 包括数亿的通话记录、通话和录音以及短信,"

      研究还显示, 通过 Twilio 服务开发的应用程序是窃听的主要受害者, 而该漏洞是由于一个基本的开发人员错误而导致的, 它无意中暴露了数百个应用程序的 API 凭据。显然, 开发人员没有正确遵循使用 Twilio 的准则, 也没有对凭据和令牌进行保护。来自 Appthority 的迈克尔. 宾利写道:

"开发人员对访问凭据进行了硬编码，以便有效地访问其 Twilio 帐户中的所有元数据

"窃听" 漏洞影响范围巨大且威胁级别较高

      受影响的应用程序已经下载了超过1.8亿次。研究人员声称, 窃听漏洞暴露了大量的机密, 私人数据不仅仅会从传统的方法泄露, 如越狱, 恶意软件或root, 还会通过通过粗心的开发者错误。

      "窃听" 漏洞对企业移动数据构成了严重威胁，可公开的数据包括通话记录、通话分钟数、通话录音分钟数、SMS 和彩信文本信息

      这一事件突显了这样一个事实, 即黑客有时候不一定使用复杂工具也会发动攻击。此外, 有关方面是无法通过从设备中删除受影响的应用程序来解决问题, 而且用户需要更新凭据并确保其安全。否则, 数据还是会泄露出来。

      Appthority 的安全研究总监解释说, 窃听漏洞对企业数据构成严重威胁, 因为它允许攻击者访问私有和机密数据, 包括在企业之外从未讨论过的详细信息，包括定价讨论, 技术披露或 M&A计划等。

"攻击者可以将录制的音频文件转换为文本, 并搜索大量的关键字数据集, 并查找有价值的数据,"

      Appthority 还声称, 威胁并不局限于使用 Twilio服务开发的应用程序, 这意味着可能会有更多的受影响的应用程序尚未被识别。

转自： http://toutiao.secjia.com/twilio-eavesdropper-flaw

标签： 安全 代码 计划 开发者 漏洞 美国 企业 搜索 通信 网络 网站 问题 用户 云计算

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。