Програмна помилка в щонайменше 685 мобільних додатках ставить під загрозу порядку 180 млн смартфонів, попередили дослідники безпеки з компанії Appthority.

За словами дослідників, вразливість, яка отримала назву Eavesdropper, виникла через те, що розробники помилково вписали в код облікові дані для доступу до сервісів компанії Twilio Inc. Багато додатків використовують Twilio для відправки текстових повідомлень, обробки телефонних дзвінків та інших сервісів. Хакери потенційно могли дізнатися облікові дані розробників, переглянувши код в додатках, а потім отримати доступ до інформації, що відправляється через ці сервіси, відзначили експерти.

Проаналізувавши 1100 додатків, дослідники виявили 685 проблемних, пов'язаних з 85 порушеними обліковими записами Twilio.

Даний випадок є показовим для нового типу кіберзагроз, пов'язаних з використанням в мобільних додатках сторонніх сервісів, що надають функції передачі текстових повідомлень і голосових викликів.

За словами експертів безпеки, даний випадок не єдиний, і в цілому є типовим для розробників, які використовують сторонні служби.

За словами представників Twilio, у компанії немає свідчень того, що хакери використовували облікові дані для доступу до інформації клієнтів. Компанія своєчасно зв'язалася з розробниками, щоб змінити облікові дані на порушених акаунтах.

Уразливість впливає тільки на дзвінки і текстові повідомлення в додатках, що використовують служби обміну повідомленнями від Twilio, включаючи деякі бізнес-додатки для запису телефонних дзвінків, відзначається в звіті.