Программная ошибка в по меньшей мере 685 мобильных приложениях ставит под угрозу порядка 180 млн смартфонов, предупредили исследователи безопасности из компании Appthority.

По словам исследователей, уязвимость, получившая название Eavesdropper, возникла из-за того, что разработчики ошибочно вписали в код учетные данные для доступа к сервисам компании Twilio Inc. Многие приложения используют Twilio для отправки текстовых сообщений, обработки телефонных звонков и других сервисов. Хакеры потенциально могли узнать учетные данные разработчиков, просмотрев код в приложениях, а затем получить доступ к информации, отправляемой через эти сервисы, отметили эксперты.

Проанализировав 1100 приложений, исследователи обнаружили 685 проблемных, связанных с 85 затронутыми учетными записями Twilio.

Данный случай является показательным для нового типа киберугроз, связанных с использованием в мобильных приложениях сторонних сервисов, предоставляющих функции передачи текстовых сообщений и голосовых вызовов.

По словам экспертов безопасности, данный случай не единственный, и в целом является типичным для разработчиков, использующих сторонние службы.

По словам представителей Twilio, у компании нет свидетельств того, что хакеры использовали учетные данные для доступа к информации клиентов. Компания своевременно связалась с разработчиками, чтобы изменить учетные данные на затронутых аккаунтах.

Уязвимость влияет только на звонки и текстовые сообщения в приложениях, использующих службы обмена сообщениями от Twilio, включая некоторые бизнес-приложения для записи телефонных звонков, отмечается в отчете.