Erro de programação coloca 180 milhões de celulares em risco de ação hacker |
Até 180 milhões de donos de celulares correm o risco de suas mensagens de texto ou ligações serem interceptadas por hackers devido a um erro de codificação em pelo menos 685 aplicativos, informou a empresa de segurança cibernética Appthority na quinta-feira, 09/11. As descobertas destacam ameaças impostas pelo crescente uso de serviços terceirizados, como a Twilio, que fornecem funções como mensagens de texto e ligações de áudio a aplicativos que não têm esses recursos embutidos.
Segundo o diretor de segurança da Appthority, Seth Hardy, os desenvolvedores dos mais de 600 aplicativos vulneráveis codificaram equivocadamente credenciais de acesso que foram fornecidas pela Twilio. Se os hackers revisarem o código podem acessar essas credenciais e, em seguida, obter acesso aos dados enviados por esses aplicativos.
Muitos aplicativos usam a Twilio para enviar mensagens de texto, processar chamadas telefônicas e lidar com outros serviços. Os hackers podem acessar dados relacionados se fizerem login nas contas do desenvolvedor da Twilio, disse Hardy. "Isso não se limita apenas ao Twilio. É um problema comum em serviços terceirizados", disse Hardy. "Muitas vezes percebemos que se cometerem um erro com um serviço, eles também o farão com outros."
Os erros foram causados por desenvolvedores, e não pela Twilio, disse Hardy. O site da empresa avisa que os desenvolvedores que deixam credenciais em aplicativos podem expor suas contas a hackers. Trak Lord, porta-voz da Twilio, disse que a empresa não tem provas de que hackers tenham usado credenciais codificadas em aplicativos para acessar dados de clientes, mas que estava trabalhando com desenvolvedores para alterar as credenciais em contas afetadas.
A Appthority disse que também avisou a Amazon.com que encontrou credenciais de pelo menos 902 contas de desenvolvedores no fornecedor de serviços de nuvem Amazon Web Services em uma varredura de 20.098 aplicativos diferentes. Essas credenciais podem ser usadas para acessar dados do usuário do aplicativo armazenados na Amazon, disse Hardy. Um representante da varejista online não comentou o assunto.
Fonte: Convergência Digital