Multe aplicatii de mesagerie oferite in ziua de azi ofera utilizatorilor criptare end-to-end pentru mesajele lor, ceea ce inseamna ca aceste mesaje sunt protejate de hackerii care ar putea incerca sa le intercepteze, dar chiar si daca ar reusi, n-ar putea putea sa le citeasca.
Cu toate acestea, securitatea este la fel de puternica ca cel mai slab element al sau, ceva ce a fost recent demonstrat. Potrivit unui raport de securitate al Appthority (citat de Reuters), se pare ca o greseala de coding a dezvoltatorilor a lasat accidental sute de aplicatii de mesagerie vulnerabile si ar putea expune mesaje private si apeluri.
Vulnerabilitatea, denumita „Eavesdropper”, se bazeaza pe API-ul Twilo Rest sau SDK, lucru despre care Reuters subliniaza ca este foarte ravnit de hackeri datorita faptului ca acreditarile lui Twilo sunt folosite in multe aplicatii de mesagerie utilizate pentru a trimite/primi mesaje si pentru a procesa apeluri telefonice.
Retineti ca aceasta vulnerabilitate nu a fost o eroare pe partea Twilo, ci mai degraba pe partea dezvoltatorilor terti care au codat din greseala acreditarile in codul aplicatiei, facilitand utilizatorilor furtul de informatii despre utilizatori.
Directorul departamentului de cercetare a securitatii al Appthority, Seth Hardy, a declarat pentru Reuters: „Acest lucru nu este limitat doar la Twilo. Este o problema obisnuita a serviciilor terte. Observam adesea ca daca acestia gresesc ceva la un serviciu, vor gresi si la alte servicii”.
Din motive evidente, Appthority nu a enumerat toate aplicatiile care ar putea fi vulnerabile din cauza greselii de coding, cu exceptia unora care acum nu mai exista, cum ar fi aplicatia AT&T Navigator si aplicatia GPS.
Twilo a confirmat pentru Reuters ca compania nu a gasit nicio dovada ca hackerii au folosit datele de conectare pentru a accesa datele clientiilor si ca lucreaza impreuna cu dezvoltatorii pentru a schimba datele de acreditare pe conturile afectate.