Appthority: une faille dans le code des apps, des millions de smartphones exposés

appthority-vulnérabilite-code-piratage-sms-voix

Selon Appthority (sécurité mobile), une faille dans le code d’environ 700 applications entraîne des risques d’écoutes furtives des appels et SMS à grande échelle.

Une faille dans près de 700 applications alimente des risques d’exposition au piratage des appels vocaux et des SMS. Des millions d’utilisateurs de smartphones sont concernés, prévient Appthority.

L’éditeur californien, spécialisé dans la sécurité des terminaux mobiles, a lancé une alerte dans ce sens la semaine dernière. Elle est baptisée Eavesdropper (« système d’écoutes clandestines ») en raison des risques d’écoutes téléphoniques furtives.

« Des développeurs codent imprudemment leurs codes d’accès dans des applications mobiles qui utilisent l’API [connecteur logiciel, ndlr] ou le SDK [kit de développement] Twilio Rest », a expliqué Appthority dans une contribution blog datée du 9 novembre.

Cette vulnérabilité offre la possibilité à des pirates d’accéder aux métadonnées de leurs comptes Twilio (fournisseur de modules d’outils de communication pour apps mobiles), incluant les SMS, les informations portant sur les appels téléphoniques et les enregistrements des échanges vocaux.

180 millions de téléchargements

Selon Appthority, au moins 685 applications d’entreprise sont concernées (44% Android, 56% iOS), dont 170 étaient encore proposées dans les app stores d’Apple et Google fin août.

À elles seules, les applications Android rendues vulnérables par cette faille auraient été téléchargées plus de 180 millions de fois, évoque l’éditeur sur son blog.

Parmi les services mobiles affectés, on trouve une douzaine d’applications de navigation GPS fournies en marque blanche par Telenav à de grands groupes comme l’opérateur télécoms AT&T.

Ce problème n’est pas lié à Twilio, mais à la manière dont les développeurs intègrent du code dans la conception des apps.

« Il ne s’agit pas d’un cas isolé, mais d’un problème commun à de nombreux services tiers », a expliqué à Reuters Seth Hardy, Directeur de recherche chez Appthority. « L’intégration d’informations d’identification dans le code est une erreur répandue qui augmente les risques de sécurité des applications mobiles. »

Ainsi, ce problème identifié chez Twilio pourrait avoir des répercussions au sein de la communauté des développeurs d’apps qui exploitent le service de stockage cloud S3 (Simple Storage Service) sur Amazon Web Services, selon une deuxième contribution blog diffusée dans la foulée à propos d’Eavesdropper.

Twilio a déclaré n’avoir pas repéré d’exploitations malveillantes visant à exploiter les données de ses clients. Néanmoins, le fournisseur de modules de communications mobiles assure travailler avec son écosystème de développeurs pour la sécurité de leurs comptes.

Du côté d’AWS, on reste plus discret.

Lire également :

Le low code : nouvelle menace sur les prérogatives du DSI

Les serveurs back-end des apps mobiles ouverts à tous les vents

crédit photo © via Visualhunt