云通讯公司Twilio曝漏洞 数亿通话短信数据或泄露

移动应用安全公司Appthority发现一个数据泄露漏洞“窃听者”(Eavesdropper)，影响了近700个企业环境中使用的应用程序。

攻击者能访问Twilio账户中的所有元数据

Appthority指出，开发人员通过Twilio Rest API or SDK接口开发移动应用程序时使用了硬编码凭证。开发人员这样做能对云通讯公司Twilio账户中存储的所有元数据进行“全局访问”，包括短信息、通话元数据和录音。

云通讯公司Twilio

Twilio是一个专注通讯服务的开放PaaS平台，它通过将复杂的底层通信功能打包成 API 并对外开放，让 web、桌面及移动应用可以方便地嵌入短信、语音及 VoIP 功能，从而实现云通信功能。企业可以直接通过他们的 API 接口接入语音和短信服务，无需运营商、无需进行复杂的通信认证审核、也无需添置和维护各种通信设备，所以极大地方便了企业和开发者。

Twilio创立于美国旧金山，其短信业务范围已覆盖 150 多个国家和地区，但电话服务仅可在 12 个国家适用。与Twilio有业务往来的科技公司分布多个行业。例如，共享经济创业公司Uber、Airbnb，即时通讯公司WhatsApp，云存储公司Box，SaaS公司Salesforce，电商eBay、Shopify，流媒体公司Hulu等等。利用这些平台提供的服务，WhatsApp用户可以通过电话号码查找好友，而Uber乘客则可以呼叫或发消息给司机。

中国也有类似的企业——中国的容联云通讯平台，其客户则包括BAT、京东、360、小米等等。

企业iOS应用程序占比高

研究人员今年7月私下报告漏洞，他们发现685个企业应用程序(56%为iOS应用程序)与85个Twilio开发者账户关联。其中许多应用程序已从苹果和谷歌应用商店移除，但截至今年8月，仍有75和102应用程序分别挂在Google Play商店和苹果应用商店。

Appthority表示，受影响的安卓应用下载次数多达1.8亿次。约有33%的Eavesdropper应用程序是企业应用。这个问题自2011年一直存在，导致数亿通话记录、录音和短信暴露。攻击者可通过硬编码凭证对开发者Twilio账户中的元数据进行“全局访问”，包括信息、通话元数据和录音。

Appthority指出，Eavesdropper对企业数据构成严重威胁，因为攻击者可能会访问商业交易相关的保密信息，并利用这些数据进行勒索或牟取个人利益的行动。但鉴于这些应用程序的类型，企业很有可能通过这些电话讨论、谈判保密商业交易，Appthority称能查看其中的录音，别有用心的攻击分子可能会使用自动化工具将音频转换成文本，搜索特定关键词就能发现有价值的数据。

开发人员不良编码习惯导致该漏洞

Twilio在发送给Threatpost的声明中表示，硬编码API凭证并不是漏洞，而是不良的编码习惯。Appthority表示，攻击者首先可能需要找到暴露的企业应用程序(构建在Twilio上)。例如，攻击者可能会使用YARA规则搜索特定字符串，识别Twilio ID和令牌或密码验证开发者的身份。一旦获取了开发者账户的访问权，窃取通话和短信数据简直小菜一碟。

Appthority补充称，攻击者只需探测、利用并窃取数据。无需执行武器化操作或采取其它措施。一旦窃取了信息和音频文件，攻击者可运行简单的脚本将音频文件转换成文本，搜索关键词查找敏感数据。

Twilio方面表示已经通知了受影响的客户，并一直在与这些客户合作修改API密钥，并采取安全解决方案。目前未发现未经授权的一方访问这些数据。许多这些应用程序已停用。

相关资讯：

2016年底苹果iOS App强制使用HTTPS

6月14日在WWDC 2016开发者大会上,苹果宣布了一个最后期限:2017年1月1日起,苹果App Store中的所有App都必须启用 App Transport Security(ATS)安全...

如何排查APP服务端和客户端是否支持ATS

2017年1月1日起,苹果App Store中的所有App都必须启用 App Transport Security(ATS)安全功能。本文介绍如何排查APP服务端和客户端是否支持ATS。

浏览器和App的URL来源显示,存在安全风险

浏览器和App的URL来源显示,存在安全风险发布日期:2017-05-10 我们早些时候解释了“eliding”,这是一种视觉截断长URL以便适应地址栏长度的做法,以及...