Een kleine programmeerfout in ten minste 685 apps maakt miljoenen gebruikers van smartphones kwetsbaar voor hackers. Telefoontjes en tekstberichten kunnen onderschept worden door hackers. Tot wel 180 miljoen Android-apparaten zijn getroffen, evenals een onbekend aantal iOS-apparaten.
Dat meldt veiligheidsfirma Appthority vandaag in een bericht over de programmeerfout. Die wordt Eavesdropper genoemd en kan dus een heleboel mensen treffen. Het gaat om apps die gebruik maken van de Twilio Rest API of SDK voor communicatiediensten, waar bellen en het versturen berichten onder vallen.
Waar gaat het mis?
Twilio laat ontwikkelaars de functies in hun apps inbouwen, zonder dat zij hun eigen communicatie-protocol hoeven te bouwen. Helaas blijkt een flink aantal ontwikkelaars die van de API gebruik maakt, de user credentials in de code van de app te laten staan. Daarmee is het voor een hacker relatief eenvoudig om de communicatie van gebruikers te onderscheppen.
“Deze kwetsbaarheid heet Eavesdropper,” schrijft Michael Bentley van Appthority. “Die heet zo, omdat de ontwikkelaars min of meer iedereen met de juiste credentials wereldwijde toegang bieden tot alle tekst/sms-berichten, metadata van telefoongesprekken en stemopnames van elke app die ze met behulp van die credentials ontwikkeld hebben.”
Grote bedreiging voor bedrijven
Bentley meldt verder dat de problemen vooral bedrijven zullen treffen. Twilio wordt namelijk veel gebruikt bij de ontwikkeling van apps voor bedrijven. Daardoor kan het zijn dat de gegevens van veel bedrijven onbedoeld op straat liggen. Tegelijkertijd meldt Twilio wel dat van de apps die ze bekeken hebben, 33 procent enkel op bedrijven gericht was. Wellicht dat de schade uiteindelijk dus meevalt.
Appthority ontdekte de kwetsbaarheid in april en heeft Twilio er in juli van op de hoogte gesteld. 85 ontwikkelaars waren verantwoordelijk voor de programmeerfout in de apps. Eind augustus was het aantal apps dat de kwetsbaarheid bevatte in de iOS App Store gedaald naar 102 en in de Google Play Store naar 85. Welke apps precies getroffen zijn, heeft Appthority niet bekend gemaakt.