Eavesdropper, una vulnerabilidad que afecta a 700 aplicaciones Android

Investigadores de Appthority han identificado una vulnerabilidad que afecta a casi 700 aplicaciones, de las de cerca de 170 siguen estando disponibles en las tiendas oficiales. La vulnerabilidad se ha bautizado como Eavesdropper y según los expertos su origen se debe a que los desarrolladores codifican sus credenciales de manera descuidada en aplicaciones móviles que usan Twilio Rest API o SDK, y eso “a pesar de las mejores prácticas que la compañía describe claramente en su documentación”. Twilio, explica Appthority, ha contactado a todos los desarrolladores con aplicaciones afectadas y está trabajando activamente para proteger sus cuentas.

También puedes leer... Tratando con el Ransomware Directrices para el Data Protection Office (DPO) Cinco pasos para hacer del Data Masking una realidad Lagunas de conocimiento en Ciberseguridad Cómo cuantificar el valor de un CASB

De forma que los desarrolladores de aplicaciones móviles que utilizan el kit de desarrollo de software (SDK) de Twilio, así como la RestvAPI, han expuesto cientos de millones de conversaciones privadas.

Según la investigación de Appthority, la vulnerabilidad permite a los atacantes recolectar registros de llamadas, minutos de llamadas, minutos de grabaciones de audio, así como escuchar llamadas grabadas almacenadas y ver mensajes de texto SMS y MMS,

De las más de 1.100 aplicaciones iOS y Android revisadas por Appthority, 685 eran vulnerables. Las aplicaciones Android vulnerables tenían entre 40 y 180 millones de descargas. Cerca de 75 aplicaciones siguen disponibles en Google Play, un 102 en la Apple Store.

Por último, según la investigación de Appthority, el 33% de las aplicaciones vulnerables son para entorno de empresa.