Una empresa de ciberseguridad encontró 635 aplicaciones para iOS y Android vulnerables al exploit Eavesdropper, que muestra mensajes privados y llamadas.
La empresa de ciberseguridad Appthority ha revelado el hallazgo de más de 600 aplicaciones para iOS y Android que pueden ser vulneradas para mostrar mensajes privados y llamadas. El exploit llamado Eavesdropper podría haber afectado al menos unos 180 millones de teléfonos Android y a un número desconocido de dispositivos iOS.
De acuerdo con el post de Michael Bentley en el blog de la compañía, Appthority descubrió 635 aplicaciones de alto riesgo que utilizan la API Twilio Rest o SDK para servicios de comunicación, incluyendo llamadas y mensajes. En el texto destaca:

La vulnerabilidad se llama Eavesdropper porque los desarrolladores han efectivamente dado acceso global a los mensajes de texto/SMS, metadatos de llamadas y grabaciones de voz de cada aplicación que han desarrollado con las credenciales expuestas.

Esto se debe a que Twilio permite a los desarrolladores añadir dichas funciones en sus aplicaciones sin tener que escribir sus propios protocolos de comunicación. El problema es que algunos desarrolladores que usan estas API dejaron las credenciales de usuario codificadas dentro del código de la aplicación, por lo que un hacker puede acceder a sus comunicaciones privadas sin grandes esfuerzos.
Eavesdropper representa una gran amenaza para las empresas, señala Bentley, ya que Twilio es generalmente usada en entornos corporativos. La vulnerabilidad podría hacer que la información privada de una compañía sea fácilmente accesible para los piratas informáticos. No obstante, la investigación señala solo un …