移動(dòng)應(yīng)用安全公司Appthority發(fā)現(xiàn)一個(gè)數(shù)據(jù)泄露漏洞“竊聽(tīng)者”（Eavesdropper），影響了近700個(gè)企業(yè)環(huán)境中使用的應(yīng)用程序。

攻擊者能訪問(wèn)Twilio賬戶(hù)中的所有元數(shù)據(jù)

Appthority指出，開(kāi)發(fā)人員通過(guò)Twilio Rest API or SDK接口開(kāi)發(fā)移動(dòng)應(yīng)用程序時(shí)使用了硬編碼憑證。開(kāi)發(fā)人員這樣做能對(duì)云通訊公司Twilio賬戶(hù)中存儲(chǔ)的所有元數(shù)據(jù)進(jìn)行“全局訪問(wèn)”，包括短信息、通話元數(shù)據(jù)和錄音。

云通訊公司 Twilio

Twilio是一個(gè)專(zhuān)注通訊服務(wù)的開(kāi)放PaaS平臺(tái)，它通過(guò)將復(fù)雜的底層通信功能打包成 API 并對(duì)外開(kāi)放，讓 web、桌面及移動(dòng)應(yīng)用可以方便地嵌入短信、語(yǔ)音及 VoIP 功能，從而實(shí)現(xiàn)云通信功能。企業(yè)可以直接通過(guò)他們的 API 接口接入語(yǔ)音和短信服務(wù)，無(wú)需運(yùn)營(yíng)商、無(wú)需進(jìn)行復(fù)雜的通信認(rèn)證審核、也無(wú)需添置和維護(hù)各種通信設(shè)備，所以極大地方便了企業(yè)和開(kāi)發(fā)者。

Twilio創(chuàng)立于美國(guó)舊金山，其短信業(yè)務(wù)范圍已覆蓋 150 多個(gè)國(guó)家和地區(qū)，但電話服務(wù)僅可在 12 個(gè)國(guó)家適用。與Twilio有業(yè)務(wù)往來(lái)的科技公司分布多個(gè)行業(yè)。例如，共享經(jīng)濟(jì)創(chuàng)業(yè)公司Uber、Airbnb，即時(shí)通訊公司W(wǎng)hatsApp，云存儲(chǔ)公司Box，SaaS公司Salesforce，電商eBay、Shopify，流媒體公司Hulu等等。利用這些平臺(tái)提供的服務(wù)，WhatsApp用戶(hù)可以通過(guò)電話號(hào)碼查找好友，而Uber乘客則可以呼叫或發(fā)消息給司機(jī)。

中國(guó)也有類(lèi)似的企業(yè)——中國(guó)的容聯(lián)云通訊平臺(tái)，其客戶(hù)則包括BAT、京東、360、小米等等。

企業(yè)iOS應(yīng)用程序占比高

研究人員今年7月私下報(bào)告漏洞，他們發(fā)現(xiàn)685個(gè)企業(yè)應(yīng)用程序（56%為iOS應(yīng)用程序）與85個(gè)Twilio開(kāi)發(fā)者賬戶(hù)關(guān)聯(lián)。其中許多應(yīng)用程序已從蘋(píng)果和谷歌應(yīng)用商店移除，但截至今年8月，仍有75和102應(yīng)用程序分別掛在Google Play商店和蘋(píng)果應(yīng)用商店。

Appthority表示，受影響的安卓應(yīng)用下載次數(shù)多達(dá)1.8億次。約有33%的Eavesdropper應(yīng)用程序是企業(yè)應(yīng)用。這個(gè)問(wèn)題自2011年一直存在，導(dǎo)致數(shù)億通話記錄、錄音和短信暴露。攻擊者可通過(guò)硬編碼憑證對(duì)開(kāi)發(fā)者Twilio賬戶(hù)中的元數(shù)據(jù)進(jìn)行“全局訪問(wèn)”，包括信息、通話元數(shù)據(jù)和錄音。

Appthority指出，Eavesdropper對(duì)企業(yè)數(shù)據(jù)構(gòu)成嚴(yán)重威脅，因?yàn)楣粽呖赡軙?huì)訪問(wèn)商業(yè)交易相關(guān)的保密信息，并利用這些數(shù)據(jù)進(jìn)行勒索或牟取個(gè)人利益的行動(dòng)。但鑒于這些應(yīng)用程序的類(lèi)型，企業(yè)很有可能通過(guò)這些電話討論、談判保密商業(yè)交易，Appthority稱(chēng)能查看其中的錄音，別有用心的攻擊分子可能會(huì)使用自動(dòng)化工具將音頻轉(zhuǎn)換成文本，搜索特定關(guān)鍵詞就能發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)。

開(kāi)發(fā)人員不良編碼習(xí)慣導(dǎo)致該漏洞

Twilio在發(fā)送給Threatpost的聲明中表示，硬編碼API憑證并不是漏洞，而是不良的編碼習(xí)慣。Appthority表示，攻擊者首先可能需要找到暴露的企業(yè)應(yīng)用程序（構(gòu)建在Twilio上）。例如，攻擊者可能會(huì)使用YARA規(guī)則搜索特定字符串，識(shí)別Twilio ID和令牌或密碼驗(yàn)證開(kāi)發(fā)者的身份。一旦獲取了開(kāi)發(fā)者賬戶(hù)的訪問(wèn)權(quán)，竊取通話和短信數(shù)據(jù)簡(jiǎn)直小菜一碟。

Appthority補(bǔ)充稱(chēng)，攻擊者只需探測(cè)、利用并竊取數(shù)據(jù)。無(wú)需執(zhí)行武器化操作或采取其它措施。一旦竊取了信息和音頻文件，攻擊者可運(yùn)行簡(jiǎn)單的腳本將音頻文件轉(zhuǎn)換成文本，搜索關(guān)鍵詞查找敏感數(shù)據(jù)。

Twilio方面表示已經(jīng)通知了受影響的客戶(hù)，并一直在與這些客戶(hù)合作修改API密鑰，并采取安全解決方案。目前未發(fā)現(xiàn)未經(jīng)授權(quán)的一方訪問(wèn)這些數(shù)據(jù)。許多這些應(yīng)用程序已停用。