La vulnerabilidad de Eavesdropper expone cientos de aplicaciones móviles

Appthority advirtió el jueves que hasta 700 aplicaciones en el entorno móvil de la empresa, incluidas más de 170 que estaban en vivo en las tiendas de aplicaciones oficiales, podrían estar en riesgo debido a la vulnerabilidad de Eavesdropper.

Las aplicaciones de Android afectadas ya pueden haber sido descargadas hasta 180 millones de veces, dijo la empresa, en base a su investigación reciente.

La vulnerabilidad ha resultado en una exposición de datos a gran escala, dijo Appthority.

Eavesdropper es el resultado de las credenciales de codificación de los desarrolladores en aplicaciones móviles que utilizan la API Twilio Rest o SDK, según Appthority.

Eso va en contra de las mejores prácticas que Twilio recomienda en su propia documentación, y Twilio ya se ha comunicado con la comunidad de desarrollo, incluidas las que tienen aplicaciones afectadas, para trabajar en asegurar las cuentas.

El equipo de amenazas móviles de Appthority descubrió por primera vez la vulnerabilidad en abril y notificó a Twilio sobre las cuentas expuestas en julio.

Según los informes, la vulnerabilidad expone cantidades masivas de datos sensibles e incluso históricos, incluidos registros de llamadas, minutos de las llamadas realizadas en dispositivos móviles y minutos de grabaciones de audio de llamadas, así como el contenido de mensajes de texto SMS y MMS.

Reduciendo el riesgo

El mejor enfoque para una empresa es identificar las aplicaciones vulnerables de Eavesdropper en su entorno y determinar si los datos expuestos por la aplicación son sensibles, sugirió Appthority.

“No todas las conversaciones involucran información confidencial, y la naturaleza del uso de la aplicación en la empresa puede no involucrar datos que sean sensibles o preocupantes”, señaló Seth Hardy, director de investigación de seguridad de Appthority.

“Si los mensajes, el contenido de audio o los metadatos de las llamadas resultan ser sensibles o propietarios, es posible que no se pueda hacer mucho con las conversaciones expuestas como resultado del uso anterior de la aplicación”.

“Sin embargo, se puede hacer mucho para proteger exposiciones futuras, incluyendo abordar y confirmar el arreglo con el desarrollador, o encontrar una aplicación alternativa que tenga la misma o similar funcionalidad sin la vulnerabilidad de Eavesdropper”, dijo Hardy. “En todos los casos, la empresa debe ponerse en contacto con los desarrolladores para que eliminen los archivos expuestos”.

Codificación Sloppy

La vulnerabilidad de Eavesdropper no se limita a las aplicaciones creadas con Twilio Rest API o SDK, señaló Appthority, ya que la codificación de las credenciales es un error común del desarrollador que puede aumentar los riesgos de seguridad en las aplicaciones móviles.

“El problema central es la pereza del desarrollador, por lo que lo que Appthority descubrió no es una revelación particular”, dijo Steve Blum, analista principal de Tellus Venture Associates.

“Es solo un ejemplo más de malas prácticas que conducen a malos resultados, ya que es muy tentador para un codificador tomar atajos mientras desarrolla una aplicación, con el sincero propósito de limpiar todo más tarde”.

“Con las aplicaciones desarrolladas por una sola persona o un pequeño equipo, no hay controles de control de calidad de rutina”, agregó Blum.

“En este momento, depende de las tiendas (Apple y Android, principalmente) hacer el trabajo de control de calidad, y apostaría a que están analizando este problema en particular y es posible que escudriñen más a fondo las credenciales codificadas en el código. futuro.”

Para que la seguridad y la privacidad sean lo primero, puede ser esencial que la codificación en general pase por un cambio de paradigma, sugirió Roger Entner, analista principal de Recon Analytics.

“Desafortunadamente, con demasiada frecuencia la seguridad se ve como un centro de costos, y la privacidad se ve como el generador de ingresos para la compañía que desarrolla la aplicación”.

“Por lo tanto, las aplicaciones a menudo no son seguras, y la privacidad es inexistente, para minimizar los costos y maximizar los ingresos”, explicó Entner. “La única forma de combatir estas infracciones es pagar el precio completo de las aplicaciones que usan los consumidores y rechazar las aplicaciones respaldadas por publicidad”.

No hay una solución fácil

Uno de los hechos más preocupantes sobre esta vulnerabilidad es que Eavesdropper no depende de un jailbreak o raíz del dispositivo. Tampoco aprovecha otras vulnerabilidades conocidas del sistema operativo.

Además, la vulnerabilidad no se resuelve después de que se haya eliminado la aplicación afectada del dispositivo de un usuario. En cambio, los datos de la aplicación permanecen abiertos a la exposición hasta que las credenciales se actualicen correctamente.

“No existe una alternativa para el consumidor que no sea desinstalar todas las aplicaciones afectadas y esperar que sus datos no se hayan visto comprometidos”, advirtió Paul Teich, analista principal de Tirias Research.

Algunos usuarios pueden comprar teléfonos precargados con aplicaciones que podrían comprometer su información personal.

“Twilio podría obligar a los desarrolladores a actualizar su código de aplicación al invalidar o revocar todas las credenciales de acceso a sus API de servicios comprometidos”.

Sin embargo, “el impacto repentino sería que una gran cantidad de valiosas aplicaciones y servicios para teléfonos inteligentes de los consumidores simplemente dejarían de funcionar al mismo tiempo”, dijo.

Eliminar aplicaciones vulnerables

Parece que los usuarios tienen pocas opciones, y podría ser difícil para los consumidores incluso tener visibilidad de las aplicaciones afectadas por Eavesdropper.

Aquellos que trabajan en una empresa “pueden pedirle a su equipo de seguridad de TI una lista de aplicaciones que están aprobadas, y luego eliminar aplicaciones vulnerables e instalar aplicaciones que no sean de Eavesdropper en su lugar”, sugirió Appthority’s Hardy.

“El gran desafío es cómo detener el flujo de información de esta brecha sin dejar de proporcionar acceso a servicios valiosos”, dijo Teich, de Tirias.

Esta situación se produjo en gran parte porque los desarrolladores eran descuidados. Sin embargo, las actitudes de los consumidores también jugaron un papel. Muchas personas prefieren la facilidad de uso sobre la seguridad del dispositivo móvil.

“Los consumidores todavía son demasiado informales sobre su privacidad y optan por no pagar”, dijo Entner de Recon Analytics, “en lugar de eso, monetizaron su privacidad y se vieron comprometidos a través de aplicaciones codificadas descuidadamente”.

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *