Một lỗ hổng bảo mật ảnh hưởng đến gần 700 ứng dụng iOS và Android có thể làm lộ hàng triệu tin nhắn, cuộc gọi và bản ghi âm, vừa được phát hiện gần đây.
Theo chuyên trang công nghệ PCMag, các nhà nghiên cứu tại Appthority vừa lên tiếng cảnh báo một lỗ hổng bảo mật do sự bất cẩn của các lập trình viên mà họ gọi là Eavesdropper, khi “hard code” thông tin xác thực của họ trong các ứng dụng điện thoại sử dụng REST API hoặc SDK của Twilio cho các dịch vụ liên lạc qua mạng. Các nhà phát triển những ứng dụng này đã không tuân theo chỉ dẫn của Twilio để bảo mật việc sử dụng các thông tin xác thực và token.
Trong kỹ thuật viết phần mềm, hard code là cách mà lập trình viên nhúng dữ liệu cố định trực tiếp vào mã nguồn của chương trình, và những dữ liệu này không bao giờ thay đổi trừ khi người lập trình chỉnh sửa lại dữ liệu này trong đoạn mã của chương trình.
Thông tin đăng tải của chuyên gia bảo mật Michael Bentley trên trang blog Appthority cho thấy, sự bất cẩn này đã khiến mọi dữ liệu được lưu trong các tài khoản Twilio có thể bị tiếp cận ở quy mô toàn cầu nên dữ liệu bị lộ là rất lớn. Những thông tin bị lộ này bao gồm cả các tin nhắn text/SMS, thông tin cuộc gọi và các dữ liệu ghi âm tiếng nói.
Theo các nhà nghiên cứu, có khoảng 33% ứng dụng bị dính lỗi Eavesdropper có liên quan đến kinh doanh. Trong đó thậm chí có cả ứng dụng dùng bảo mật kênh liên lạc cho một cơ quan hành pháp liên bang và ứng dụng cho phép các nhóm bán hàng của doanh nghiệp ghi âm các cuộc thảo luận và chú thích theo thời gian thực.
Lỗ hổng này được các nhà nghiên cứu đánh giá là dễ khai thác và sẽ cho phép kẻ tấn công truy cập vào các thông tin mật về giao dịch kinh doanh của một công ty để thu thập trái phép và tư lợi. Đáng nói hơn, các ứng dụng bị ảnh hưởng bởi lỗi này hiện đã được tải về tổng cộng khoảng 180 triệu lượt. Chưa kể, hơn 170 ứng dụng bị ảnh hưởng hiện vẫn đang có mặt trên các cửa hàng ứng dụng Apple Appstore và Google Play.
Không chỉ vậy, Appthority cho biết vấn đề này không chỉ giới hạn ở các ứng dụng được tạo với Twilio. Bởi việc “hard code” các thông tin xác thực là mội sai lầm khá phổ biến của các nhà phát triển bất cẩn, làm tăng rủi ro bảo mật cho các ứng dụng di động. Và theo họ, những nhà phát triển mắc lỗi này cũng có khả năng cao cũng mắc phải sai lầm tương tự cho các dịch vụ khác.