fbpx
O greseala de coding face vulnerabile sute de aplicatii de mesagerie

O greseala de coding lasa vulnerabile sute de aplicatii de mesagerie

Multe aplicatii de mesagerie oferite in ziua de azi ofera utilizatorilor criptare end-to-end pentru mesajele lor, ceea ce inseamna ca aceste mesaje sunt protejate de hackerii care ar putea incerca sa le intercepteze, dar chiar si daca ar reusi, n-ar putea putea sa le citeasca.

Cu toate acestea, securitatea este la fel de puternica ca cel mai slab element al sau, ceva ce a fost recent demonstrat. Potrivit unui raport de securitate al Appthority (citat de Reuters), se pare ca o greseala de coding a dezvoltatorilor a lasat accidental sute de aplicatii de mesagerie vulnerabile si ar putea expune mesaje private si apeluri.

CITESTE SI:  Ce anume cere Japonia companiei Facebook

Vulnerabilitatea, denumita “Eavesdropper”, se bazeaza pe API-ul Twilo Rest sau SDK, lucru despre care Reuters subliniaza ca este foarte ravnit de hackeri datorita faptului ca acreditarile lui Twilo sunt folosite in multe aplicatii de mesagerie utilizate pentru a trimite/primi mesaje si pentru a procesa apeluri telefonice.

Retineti ca aceasta vulnerabilitate nu a fost o eroare pe partea Twilo, ci mai degraba pe partea dezvoltatorilor terti care au codat din greseala acreditarile in codul aplicatiei, facilitand utilizatorilor furtul de informatii despre utilizatori.

CITESTE SI:  De ce navetistii din New York sunt taxati accidental prin Apple Pay

Directorul departamentului de cercetare a securitatii al Appthority, Seth Hardy, a declarat pentru Reuters: “Acest lucru nu este limitat doar la Twilo. Este o problema obisnuita a serviciilor terte. Observam adesea ca daca acestia gresesc ceva la un serviciu, vor gresi si la alte servicii”.

CITESTE SI:  Cum sarbatoreste Apple 10 ani de App Store

Din motive evidente, Appthority nu a enumerat toate aplicatiile care ar putea fi vulnerabile din cauza greselii de coding, cu exceptia unora care acum nu mai exista, cum ar fi aplicatia AT&T Navigator si aplicatia GPS.

Twilo a confirmat pentru Reuters ca compania nu a gasit nicio dovada ca hackerii au folosit datele de conectare pentru a accesa datele clientiilor si ca lucreaza impreuna cu dezvoltatorii pentru a schimba datele de acreditare pe conturile afectate.