Исследователи из компании Appthority обнаружили серьезную уязвимость, которая ставит под угрозу более 180 млн мобильных устройств.
Брешь, получившая название Eavesdropper, возникла из-за ошибки разработчиков, которые вписали в код учетные данные для доступа к сервисам компании Twilio. Eavesdropper содержится по меньшей мере в 685 приложениях, установленных на приблизительно 180 млн устройств, — как под Android, так и на iOS.
Набор средств разработки и API Twilio используются приложениями для отправки SMS и совершения телефонных звонков. Из-за халатности разработчиков учетные данные сервисов Twilio Inc. оказались жестко вшиты в код приложений. Таким образом, потенциальный злоумышленник может легко выявить их при анализе кода и затем использовать для перехвата метаданных, доступных через сервисы компании. Другими словами, разработчики предоставили всему миру доступ ко всем SMS-сообщениям, метаданным и записям звонков, совершаемым при помощи приложений на Twilio.
Это открывает возможность для серьезной эксплуатации: например, при целевой атаке на конкретную компанию киберпреступники могут скомпрометировать конфиденциальную информацию, в том числе данные о готовящихся сделках, объектах интеллектуальной собственности, кадровых назначениях и биржевых инсайтах.
Особая опасность Eavesdropper состоит в том, что для атаки не нужны ни вредоносное ПО, ни джейлбрейк/рутирование устройства. Атакующему достаточно сделать три простых шага: найти приложения, использующие Twilio, затем проанализировать строки кода на предмет слова «twilio» и узнать учетные данные, жестко вшитые в код; наконец, использовать их, чтобы похитить нужную информацию.
Appthority обнаружила уязвимость еще в апреле 2017 года и сообщила о ней в компанию в июле. Как полагают эксперты, проблема существует с 2011 года. Скомпрометированными оказались около 85 аккаунтов разработчиков. Исследователи обнаружили в магазинах Google Play и App Store соответственно 75 и 102 уязвимых приложения, загруженных примерно 180 млн раз. Под угрозой — миллионы звонков, аудиозаписей разговоров и SMS-сообщений. Примерно 33% уязвимых приложений используются компаниями, которые могут понести огромные убытки.
Усугубляет ситуацию то, что в 40% приложений, содержащих Eavesdropper, также скомпрометированы учетные данные к Amazon S3. По словам аналитиков Appthority, из 2030 потенциально скомпрометированных аккаунтов, используемых в 20 098 приложениях, 902 до сих пор активны и имеют доступ к 21 866 «корзинам» в облаке Amazon.
Масштаб потенциального ущерба в этом случае намного выше, чем для мобильных устройств. Злоумышленники могут получить информацию об инфраструктуре и сети большого количества пользователей Amazon — например, сведения о клиентах и сделках в CRM-системах и базах данных, или даже доступ ко всей корпоративной сети с хостингом на Amazon.
В Twilio прокомментировали ситуацию, пояснив, что сведений о произошедшей де-факто компрометации клиентских данных нет. Тем не менее решение проблемы не будет легким: разработчикам придется изменить код всех уязвимых приложений, чтобы убрать жестко закодированные учетные данные, а также изменить уже существующие записи. С информацией, которая уже скомпрометирована за время присутствия уязвимости, ничего сделать нельзя, сетуют аналитики. Пострадавшим корпоративным пользователям необходимо определить уязвимые приложения и выяснить, какие из похищенных данных являются конфиденциальными.