Eavesdropper : Une vulnérabilité découverte dans la configuration de plus de 700 applications mobiles

L’entreprise Appthority a découvert une vulnérabilité impactant les applications mobiles développées via le kit de développement logiciel Twilio Rest. Cette vulnérabilité, baptisée Eavesdropper, affecterait près de 700 applications, dont plusieurs utilisées par des entreprises.

La vulnérabilité est liée au non-respect par certains développeurs des règles de sécurité définies dans le kit de développement. Ces développeurs ont en effet oublié de supprimer des identifiants inscrits en dur dans le code d’applications mobiles, ce qui expose toutes les données stockées dans leurs comptes Twilio, les messages texte/SMS, les métadonnées d'appel et les enregistrements vocaux.

La vulnérabilité a été identifiée sur plus de 685 applications présentes en entreprise (dont 44 % sur Android, 56% sur iOS) associées à 85 comptes développeur Twilio. À la fin du mois d'août 2017, 75 de ces applications étaient disponibles sur Google Play et 102 sur l'App Store. Les applications Android concernées ont ainsi été téléchargées plus de 180 millions de fois.

Eavesdropper représente une menace pour les données d'entreprise, car un attaquant potentiel pourrait accéder à des informations confidentielles sur les transactions commerciales d'une entreprise et entamer des actions pour les exploiter afin d’en retirer un gain personnel.

Twilio a déclaré qu’elle n'avait aucune preuve que des pirates aient utilisé des identifiants codés dans les applications pour accéder aux données de leurs clients, mais a annoncé qu’elle travaillait avec les développeurs pour modifier les informations d'identification des comptes concernés.