返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
Twilio服务“窃听”漏洞数据泄露事件
2017-11-14 IT运维网 / 转载

      “窃听”漏洞是企业移动威胁保护公司 Appthority 的研究人员发现的一种新的危险漏洞,该漏洞存在于Twilio服务API当中。根据他们的发现, 到目前为止, 该漏洞影响了大约 700 iOS 和 Android安卓应用程序, 导致大量敏感的移动数据发生 数据泄露 。据报道, 数以百万计的电话、录音和短信被曝光。“窃听”漏洞被认为是一个严重的威胁。

Twilio服务是什么

      知乎上 张十三 朋友的回答如下:

          Twilio是一个专注通讯服务的开放PaaS平台、是一个提供技术能力的网站,也是美国较为知名的云计算通讯服务类的初创企业。

          Twilio通过将复杂的底层通信功能打包成 API 并对外开放,让 web、桌面及移动应用可以方便地嵌入短信、语音及 VoIP 功能,从而实现云通信的功能。

Twilio的业务模式是怎样的?

短信类服务 
      举例来说明 Twilio 的作用。比方说你开发了一项服务,该服务每天会向用户发送一条与自己宠物有关的短信(短信仍然是最有效最普及的渠道)。但是考虑到这些用户从属于不同的运营商,所以要想实现这一点你需要针对不同运营商的短信网关做接口,因此这件事情仍然非常麻烦。但是通过 Twilio 几行代码就可以搞定。

VoIP语音通话类服务 
      举例来说,如果商务社交网站LinkedIn想要加入新功能,让用户可以与其他用户进行网络语音通话。那么,在Twilio Client的帮助下,LinkedIn可以轻易加入该功能:点击某个好友的网名旁的一个按钮,对方就可以看到弹出窗口,询问是否愿意接通,通话将通过 Twilio公司的网络电话线路进行。Skype或许也可以提供此类服务,但恐怕只会向特别合作伙伴提供,而Twilio的新功能是任何应用都可以采用 的。

“窃听”漏洞是因为程序员硬编码了访问凭据

      虽然“窃听”漏洞是在4月发现的, 但根据安全专家表示, 这个漏洞从 2011年以来就出现了, 30-33% 受影响的应用程序是与业务相关。正如研究人员指出, 有许多重要的应用程序, 联邦执法机构也在用, 另外一个方面,企业销售团队也会使用这些程序进行实时讨论,这些讨论过程中的录音有可能被记录下来。研究人员在一篇博文中写道。

"曝光的范围实在是太大了, 包括数亿的通话记录、通话和录音以及短信,"

      研究还显示, 通过 Twilio 服务开发的应用程序是窃听的主要受害者, 而该漏洞是由于一个基本的开发人员错误而导致的, 它无意中暴露了数百个应用程序的 API 凭据。显然, 开发人员没有正确遵循使用 Twilio 的准则, 也没有对凭据和令牌进行保护。来自 Appthority 的迈克尔. 宾利写道:

"开发人员对访问凭据进行了硬编码,以便有效地访问其 Twilio 帐户中的所有元数据

"窃听" 漏洞影响范围巨大且威胁级别较高

      受影响的应用程序已经下载了超过1.8亿次。研究人员声称, 窃听漏洞暴露了大量的机密, 私人数据不仅仅会从传统的方法泄露, 如越狱, 恶意软件或root, 还会通过通过粗心的开发者错误。

      "窃听" 漏洞对企业移动数据构成了严重威胁,可公开的数据包括通话记录、通话分钟数、通话录音分钟数、SMS 和彩信文本信息

      这一事件突显了这样一个事实, 即黑客有时候不一定使用复杂工具也会发动攻击。此外, 有关方面是无法通过从设备中删除受影响的应用程序来解决问题, 而且用户需要更新凭据并确保其安全。否则, 数据还是会泄露出来。

      Appthority 的安全研究总监解释说, 窃听漏洞对企业数据构成严重威胁, 因为它允许攻击者访问私有和机密数据, 包括在企业之外从未讨论过的详细信息,包括定价讨论, 技术披露或 M&A计划等。

"攻击者可以将录制的音频文件转换为文本, 并搜索大量的关键字数据集, 并查找有价值的数据,"

      Appthority 还声称, 威胁并不局限于使用 Twilio服务开发的应用程序, 这意味着可能会有更多的受影响的应用程序尚未被识别。

转自: http://toutiao.secjia.com/twilio-eavesdropper-flaw
相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读