Une faille dans près de 700 applications alimente des risques d’exposition au piratage des appels vocaux et des SMS. Des millions d’utilisateurs de smartphones sont concernés, prévient Appthority.
L’éditeur californien, spécialisé dans la sécurité des terminaux mobiles, a lancé une alerte dans ce sens la semaine dernière. Elle est baptisée Eavesdropper (« système d’écoutes clandestines ») en raison des risques d’écoutes téléphoniques furtives.
« Des développeurs codent imprudemment leurs codes d’accès dans des applications mobiles qui utilisent l’API [connecteur logiciel, ndlr] ou le SDK [kit de développement] Twilio Rest », a expliqué Appthority dans une contribution blog datée du 9 novembre.
Cette vulnérabilité offre la possibilité à des pirates d’accéder aux métadonnées de leurs comptes Twilio (fournisseur de modules d’outils de communication pour apps mobiles), incluant les SMS, les informations portant sur les appels téléphoniques et les enregistrements des échanges vocaux.
Selon Appthority, au moins 685 applications d’entreprise sont concernées (44% Android, 56% iOS), dont 170 étaient encore proposées dans les app stores d’Apple et Google fin août.
À elles seules, les applications Android rendues vulnérables par cette faille auraient été téléchargées plus de 180 millions de fois, évoque l’éditeur sur son blog.
Parmi les services mobiles affectés, on trouve une douzaine d’applications de navigation GPS fournies en marque blanche par Telenav à de grands groupes comme l’opérateur télécoms AT&T.
Ce problème n’est pas lié à Twilio, mais à la manière dont les développeurs intègrent du code dans la conception des apps.
« Il ne s’agit pas d’un cas isolé, mais d’un problème commun à de nombreux services tiers », a expliqué à Reuters Seth Hardy, Directeur de recherche chez Appthority. « L’intégration d’informations d’identification dans le code est une erreur répandue qui augmente les risques de sécurité des applications mobiles. »
Ainsi, ce problème identifié chez Twilio pourrait avoir des répercussions au sein de la communauté des développeurs d’apps qui exploitent le service de stockage cloud S3 (Simple Storage Service) sur Amazon Web Services, selon une deuxième contribution blog diffusée dans la foulée à propos d’Eavesdropper.
Twilio a déclaré n’avoir pas repéré d’exploitations malveillantes visant à exploiter les données de ses clients. Néanmoins, le fournisseur de modules de communications mobiles assure travailler avec son écosystème de développeurs pour la sécurité de leurs comptes.
Du côté d’AWS, on reste plus discret.
Lire également :
Le low code : nouvelle menace sur les prérogatives du DSI
Les serveurs back-end des apps mobiles ouverts à tous les vents
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.