Ошибка разработчиков открыла опасную уязвимость

14 ноября 2017 г., вторник

Исследователи из компании Appthority обнаружили серьезную уязвимость, которая ставит под угрозу более 180 млн мобильных устройств.

Брешь, получившая название Eavesdropper, возникла из-за ошибки разработчиков, которые вписали в код учетные данные для доступа к сервисам компании Twilio. Eavesdropper содержится по меньшей мере в 685 приложениях, установленных на приблизительно 180 млн устройств, — как под Android, так и на iOS.

Набор средств разработки и API Twilio используются приложениями для отправки SMS и совершения телефонных звонков. Из-за халатности разработчиков учетные данные сервисов Twilio Inc. оказались жестко вшиты в код приложений. Таким образом, потенциальный злоумышленник может легко выявить их при анализе кода и затем использовать для перехвата метаданных, доступных через сервисы компании. Другими словами, разработчики предоставили всему миру доступ ко всем SMS-сообщениям, метаданным и записям звонков, совершаемым при помощи приложений на Twilio.

Это открывает возможность для серьезной эксплуатации: например, при целевой атаке на конкретную компанию киберпреступники могут скомпрометировать конфиденциальную информацию, в том числе данные о готовящихся сделках, объектах интеллектуальной собственности, кадровых назначениях и биржевых инсайтах.

Особая опасность Eavesdropper состоит в том, что для атаки не нужны ни вредоносное ПО, ни джейлбрейк/рутирование устройства. Атакующему достаточно сделать три простых шага: найти приложения, использующие Twilio, затем проанализировать строки кода на предмет слова «twilio» и узнать учетные данные, жестко вшитые в код; наконец, использовать их, чтобы похитить нужную информацию.

Appthority обнаружила уязвимость еще в апреле 2017 года и сообщила о ней в компанию в июле. Как полагают эксперты, проблема существует с 2011 года. Скомпрометированными оказались около 85 аккаунтов разработчиков. Исследователи обнаружили в магазинах Google Play и App Store соответственно 75 и 102 уязвимых приложения, загруженных примерно 180 млн раз. Под угрозой — миллионы звонков, аудиозаписей разговоров и SMS-сообщений. Примерно 33% уязвимых приложений используются компаниями, которые могут понести огромные убытки.

Усугубляет ситуацию то, что в 40% приложений, содержащих Eavesdropper, также скомпрометированы учетные данные к Amazon S3. По словам аналитиков Appthority, из 2030 потенциально скомпрометированных аккаунтов, используемых в 20 098 приложениях, 902 до сих пор активны и имеют доступ к 21 866 «корзинам» в облаке Amazon.

Масштаб потенциального ущерба в этом случае намного выше, чем для мобильных устройств. Злоумышленники могут получить информацию об инфраструктуре и сети большого количества пользователей Amazon — например, сведения о клиентах и сделках в CRM-системах и базах данных, или даже доступ ко всей корпоративной сети с хостингом на Amazon.

В Twilio прокомментировали ситуацию, пояснив, что сведений о произошедшей де-факто компрометации клиентских данных нет. Тем не менее решение проблемы не будет легким: разработчикам придется изменить код всех уязвимых приложений, чтобы убрать жестко закодированные учетные данные, а также изменить уже существующие записи. С информацией, которая уже скомпрометирована за время присутствия уязвимости, ничего сделать нельзя, сетуют аналитики. Пострадавшим корпоративным пользователям необходимо определить уязвимые приложения и выяснить, какие из похищенных данных являются конфиденциальными.

Threatpost