Une faille dans près de 700 applications alimente des risques d’exposition au piratage des appels vocaux et des SMS. Des millions d’utilisateurs de smartphones sont concernés, prévient Appthority.
L’éditeur californien, spécialisé dans la sécurité des terminaux mobiles, a lancé une alerte dans ce sens la semaine dernière. Elle est baptisée Eavesdropper (« système d’écoutes clandestines ») en raison des risques d’écoutes téléphoniques furtives.
« Des développeurs codent imprudemment leurs codes d’accès dans des applications mobiles qui utilisent l’API [connecteur logiciel, ndlr] ou le SDK [kit de développement] Twilio Rest », a expliqué Appthority dans une contribution blog datée du 9 novembre.
Cette vulnérabilité offre la possibilité à des pirates d’accéder aux métadonnées de leurs comptes Twilio (fournisseur de modules d’outils de communication pour apps mobiles), incluant les SMS, les informations portant sur les appels téléphoniques et les enregistrements des échanges vocaux.
Selon Appthority, au moins 685 applications d’entreprise sont concernées (44% Android, 56% iOS), dont 170 étaient encore proposées dans les app stores d’Apple et Google fin août.
À elles seules, les applications Android rendues vulnérables par cette faille auraient été téléchargées plus de 180 millions de fois, évoque l’éditeur sur son blog.
Parmi les services mobiles affectés, on trouve une douzaine d’applications de navigation GPS fournies en marque blanche par Telenav à de grands groupes comme l’opérateur télécoms AT&T.
Ce problème n’est pas lié à Twilio, mais à la manière dont les développeurs intègrent du code dans la conception des apps.
« Il ne s’agit pas d’un cas isolé, mais d’un problème commun à de nombreux services tiers », a expliqué à Reuters Seth Hardy, Directeur de recherche chez Appthority. « L’intégration d’informations d’identification dans le code est une erreur répandue qui augmente les risques de sécurité des applications mobiles. »
Ainsi, ce problème identifié chez Twilio pourrait avoir des répercussions au sein de la communauté des développeurs d’apps qui exploitent le service de stockage cloud S3 (Simple Storage Service) sur Amazon Web Services, selon une deuxième contribution blog diffusée dans la foulée à propos d’Eavesdropper.
Twilio a déclaré n’avoir pas repéré d’exploitations malveillantes visant à exploiter les données de ses clients. Néanmoins, le fournisseur de modules de communications mobiles assure travailler avec son écosystème de développeurs pour la sécurité de leurs comptes.
Du côté d’AWS, on reste plus discret.
Lire également :
Le low code : nouvelle menace sur les prérogatives du DSI
Les serveurs back-end des apps mobiles ouverts à tous les vents
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…