导读近700个iOS和Android应用程序中的故障可能会暴露您的私人消息和呼叫。Appthority是一家移动威胁防护公司,它发现了通常用于企业通信的应
近700个iOS和Android应用程序中的故障可能会暴露您的私人消息和呼叫。
Appthority是一家移动威胁防护公司,它发现了通常用于企业通信的应用程序开发中的缺陷。它周四发表了一份关于其调查结果的报告 该公司认为,多达1.8亿Android用户可能受到被称为“窃听者”的黑客攻击。未知数量的iOS设备也存在风险。
该漏洞来自685个使用Twilio Rest API或SDK进行通信服务的应用程序,例如呼叫和消息传递。Twilio允许开发人员在应用程序中构建这些消息传递功能。但是Appthority发现使用这些API的一些开发人员错误地将用户的凭据硬编码到他们的应用程序代码中。
Appthority的Michael Bentley写道:“这个漏洞被称为Eavesdropper,因为开发人员已经有效地使用暴露的凭证从他们开发的每个应用程序中全局访问文本/ SMS消息,呼叫元数据和录音。”
Twilio最常用于商业环境,可能会泄露公司的私人信息。Appthority发现大约33%的应用程序都是以业务为中心的。一个应用程序使销售团队能够实时记录音频和注释讨论。
Appthority在4月份发现了这个漏洞,并在7月份通知了Twilio。截至8月底,受影响的应用程序数量在iOS App Store中降至102,在Google Play中降至85。然而,Appthority没有公布可能仍然容易受到攻击的应用程序的完整列表。