Di MAro Ilaria

Eavesdropper, milioni di conversazioni private esposte

Appthority ha scoperto una vulnerabilitÓ che espone pi¨ di 700 app Android e iOS ad accesso non autorizzato a informazioni private quali SMS, metadati delle chiamate e altro ancora

Roma- Una ricerca da parte di Appthority ha messo in luce una vulnerabilità, definita dai ricercatori con il nome di Eavesdropper, che affligge circa 700 app tra iOS e Android di cui molte di tipo aziendale.

La vulnerabilità è causata dall'inclusione di credenziali hard coded nelle applicazioni mobile che usano Twilio Rest API o SDK per i servizi di comunicazione, e permette di dare accesso globale alle informazioni contenute nei metadata degli account Twilio inclusi SMS, MMS metadata delle chiamate e registrazioni vocali.
Eavesdropper non si basa su un problema di jailbreak o root del device, ma la sua presenza è dovuta alla mancata applicazione delle linee guida per la sicurezza delle credenziali e dei token di Twilio.

Il Mobile Treat Team (MTT) di Appthority ha scoperto Eavesdropper nell'aprile 2017 ma la vulnerabilità è presente almeno dal 2011. Tra le applicazioni affette troviamo anche app per la comunicazione sicura per un'agenzia federale, un'applicazione che permette ai team di vendita di un azienda di registrare e annotare discussioni in tempo reale ecc.
Eavesdropper potrebbe consentire a un attaccante di acquisire informazioni confidenziali sulla compagnia come ad esempio piani di mercato e negoziazioni.
L' attacco richiede tre passi di esecuzione: riconoscimento, exploit ed esfiltrazione.
Nella fase di riconoscimento l'attaccante cerca le applicazioni che utilizzano Twilio; nella fase di exploit invece, usano un servizio come VirusTotal o YARA, cercando la parola chiave "twilio" si identifica la posizione delle credenziali che includono Twilio ID (34 caratteri) e token/password (32 caratteri).

twilioscreen

Nell'immagine mostrata troviamo: account ID, account Token, account ID richiesto per l'URL, numero di telefono Twilio.

Appthority mostra un esempio di metodo per l'esfiltrazione dei dati usando cURL per acquisire i dati delle chiamate in entrata da agosto 2017:

$ curl -G https://api.twilio.com/2010-04-01/Accounts
/ACXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/Usage/Records.json \

-d "Category=calls-inbound" \

-d "StartDate=2017-08-01" \

-d "EndDate=2017-08-31" \

-u 'ACXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:your_auth_token'

Dopo l'esfiltrazione è possibile trasformare gli audio raccolti in formato testo così da poter eseguire una ricerca per parole chiave, ciò rende la ricerca di informazioni sensibili ancora più facile.

I ricercatori hanno tenuto a sottolineare che questo attacco è molto più semplice rispetto a un APT attack che usa i sette passi della Cyber Chill Chain poiché ne usa solo 3: riconoscimento (passo 1), exploit (passo 4) es esfiltrazione (passo 7).

Il problema delle credenziali scritte nel codice sorgente non è relativo soltanto alle applicazioni create con Twilio, ma è un grave errore comune a molti sviluppatori che, come prevedibile, comporta enormi problemi di sicurezza. Inoltre i developer che commettono questo errore riutilizzano spesso le stesse credenziali per altre applicazioni, e ciò crea ulteriori problemi.

Le applicazioni interessate sono state scaricate più di 180 milioni di volte e molte (circa 170) sono ancora disponibili negli Store ufficiali di Android e iOS. L'Appthority Mobile Threat Protection (MTP) è (al momento in cui scriviamo) l'unica soluzione Mobile Threat Defense che al momento può identificare la vulnerabilità Eavesdropper.

Twilio ha dichiarato di non avere alcuna prova che Eavesdropper sia stato utilizzato per accedere ai dati degli utenti, ma che ha raggiunto tutti gli sviluppatori delle applicazioni interessate e sta lavorando attivamente per mettere in sicurezza gli account.

Ilaria Di Maro

fonte immagine
Notizie collegate
  • SicurezzaChrome, nuove protezioni anti-redirectGoogle annuncia l'arrivo di nuove funzioni contro il "dirottamento" della navigazione su Chrome, un modo per la corporation di porre un freno ai contenuti non richiesti, spesso ricchi di malvertising, sbattuti in faccia ai netizen
  • AttualitàGoogle, SDK per l'audio 3D nella VRSi chiama Resonance Audio, Ŕ open source, disponibile su GitHub e Supporta diverse piattaforme per la realtÓ aumentata e virtuale, un settore in cui molte aziende, Mountain View compresa, scommettono per il futuro
  • SicurezzaIl chip segreto di Intel nasconde un OS open sourceIntel usa MINIX sul suo microcontroller "segreto" ME 11: la rivelazione Ŕ stata ufficialmente confermata dal creatore del sistema operativo, mentre Google Ŕ impegnata a sostituire il firmware "bacato" della corporation con Linux nei suoi data center
12 Commenti alla Notizia Eavesdropper, milioni di conversazioni private esposte
Ordina
  • non è ne semplice ne banale.

    Per utilizzare API remote devi autenticarti. L'autenticazione al servizio remoto usa credenziali associate all'azienda che produce il client quindi uguali per ogni installazione del client. E da qualche parte queste informazioni devono essere scritte.
    non+autenticato
  • - Scritto da: mementomori
    > non è ne semplice ne banale.
    >
    > Per utilizzare API remote devi autenticarti.
    > L'autenticazione al servizio remoto usa
    > credenziali associate all'azienda che produce il
    > client quindi uguali per ogni installazione del
    > client. E da qualche parte queste informazioni
    > devono essere
    > scritte.
    meccanismi di digest, oauth, ecc... se ppo' fa, se uno non segue i pigri esempi in homepage..
    non+autenticato
  • ma qualcuno ha visto la homepage di twilio?

    (..)Simple, powerful API
    (..)Example in python

    # Sending an SMS using the Twilio API
    from twilio.rest import Client

    # put your own credentials here
    account_sid = "AC5ef872f6da5a21de157d80997a64bd33"
    auth_token = "your_auth_token"

    client = Client(account_sid, auth_token)

    client.messages.create(
    to="+16518675309",
    from_="+14158141829",
    body="Tomorrow's forecast in Financial District, San Francisco is Clear",
    media_url="https://climacons.herokuapp.com/clear.png")

    )
    non+autenticato
  • PERCHE LA CIALTRONERIA NELLA SCRITTURA DI CODICE?

    a. deve uscire velocemente -> riutilizzo codice gia fatto senza leggerlo, e non faccio le validazioni di qualita'

    b. deve costare poco -> faccio programmare a scimmie

    Signori, la qualita' costa, chi non e' disposto a pagarla, si ritrova un mano merda. infiocchettata in una bella interfaccia grafica, ma sempore merda resta.
    non+autenticato
  • Ormai è la norma. Basta vedere quanti cialtroni riutilizzano framework a destra e a manca, col risultato di avere tra le mani qualcosa di pesante, inefficiente, pieno di codice non utilizzato, con voragini grosse come case, e per cui se vuoi andare a modificare qualcosa che se scritto ad hoc richiederebbe cinque minuti di lavoro poi finisci per perdi per ore in un marasma di codice di framework.
    non+autenticato
  • - Scritto da: ...
    > Ormai è la norma. Basta vedere quanti cialtroni
    > riutilizzano framework a destra e a manca, col
    > risultato di avere tra le mani qualcosa di
    > pesante, inefficiente, pieno di codice non
    > utilizzato, con voragini grosse come case, e per
    > cui se vuoi andare a modificare qualcosa che se
    > scritto ad hoc richiederebbe cinque minuti di
    > lavoro poi finisci per perdi per ore in un
    > marasma di codice di framework.

    esatto. ma il problema e' piu' sottile: l'esistenza di facilitazioni ha permesso a molti imrovvisatori di credersi chissa' chi.

    Ma sai quanti ne vedo di gente che:

    "uso arduino + scheda + software raccattato qua e là = "yeehhhh sono un progettista hardware!"

    oppure:

    "uso raspberry + distro ad hoc, formatto la uSD, inserisco e funziona" = = "yeehhhh sono un sistemista!"

    oppure:

    "scarico la iso di ubuntu, masterizzo, faccio il boot, avanti avanti avanti ho istallato ubuntu" = "yeehhhh sono un utente evoluto!"

    oppure:

    "scarico android studio, carico l'"hello word", compilo, installo funziona" = "yeehhhh sono uno sviluppatore di App!"

    ?

    e cosi' via.
    non+autenticato
  • stessa merda! Sono un device che formano cazzo e culo, dello stesso.
    non+autenticato
  • Qualunque comunicazione che invece di essere diretta da un IP ad un altro IP passa per un server, deve essere considerata visibile a cani&porci che hanno possibilita' di accedere a quel server, e per estensione, al mondo intero.

    Quindi la notizia in oggetto e' equivalente a quella che dice che il sole sorge tutte le mattine.
  • - Scritto da: panda rossa
    > Qualunque comunicazione che invece di essere
    > diretta da un IP ad un altro IP passa per un
    > server,

    Però anche con una comunicazione peer-to-peer non cambia molto in pura teoria... a ogni hop (passaggio per un router) può essere facilmente intercettata.

    > deve essere considerata visibile a
    > cani&porci che hanno possibilita' di accedere a
    > quel server, e per estensione, al mondo
    > intero.

    L'importate è usare un protocollo come OTR se possibile, o altrimenti come GPG. A questo punto non è più importante se la comunicazione viene intercettata oppure no perchè solo il destinatario puo' decifrarla.
    Io preferisco questo come paradigma di sicurezza. Cioè dare per scontato che la comunicazione viene intercettata e renderla comunque sicura.
    non+autenticato
  • - Scritto da: ben10
    > - Scritto da: panda rossa
    > > Qualunque comunicazione che invece di essere
    > > diretta da un IP ad un altro IP passa per un
    > > server,
    >
    > Però anche con una comunicazione peer-to-peer non
    > cambia molto in pura teoria... a ogni hop
    > (passaggio per un router) può essere facilmente
    > intercettata.

    E intercetteranno un bel pacchetto criptato.
    Buon divertimento.

    >
    > > deve essere considerata visibile a
    > > cani&porci che hanno possibilita' di
    > accedere
    > a
    > > quel server, e per estensione, al mondo
    > > intero.
    >
    > L'importate è usare un protocollo come OTR se
    > possibile, o altrimenti come GPG. A questo punto
    > non è più importante se la comunicazione viene
    > intercettata oppure no perchè solo il
    > destinatario puo'
    > decifrarla.

    Se invece di utilizzare un tuo protocollo di comunicazione, ti avvali di quelli preinstallati, CLOSED, e che profilano tutto sul server intermediario, hai poco da PGP.

    > Io preferisco questo come paradigma di sicurezza.
    > Cioè dare per scontato che la comunicazione viene
    > intercettata e renderla comunque
    > sicura.

    La comunicazione attraverso programmi CLOSED che si avvalgono di server intermediari, e' sempre intercettata e accessibile a cani&porci.