ช่องโหว่ Eavesdropper เปิดเผยถึงบทสนทนาส่วนตัวหลายล้านรายการ

Appthority บริษัทด้านความมั่นคงปลอดภัยพบว่านักพัฒนาหลายสิบรายทิ้ง Credential ของ Twilio API ไว้ใน Code ของหลายร้อยแอปพลิเคชัน ซึ่งอาจทำให้แฮ็กเกอร์สามารถค้นหา Credential และยกระดับสิทธิ์เพื่อเข้าถึงการสนทนาหรือการใช้ข้อความของจากแอปพลิเคชันของผู้ใช้งานได้ ซึ่งคาดว่ามีบทสทนาส่วนตัวหลายล้านรายการได้รับผลกระทบ

Credit: ShutterStock.com

Twilio Cloud Service เป็นบริการที่ช่วยให้แอปพลิเคชัน Third-party สามารถรับส่งโทรศัพท์หรือข้อความจากผู้ให้บริการโทรศัพท์หลายเจ้าได้ผ่านทาง API โดย Appthority Mobile Threat Team (MTT) ได้พบแอปพลิเคชันที่มีการทิ้ง Credential ของ Twilio API ไว้ใน Code เมื่อเดือนเมษายนและได้แจ้งปัญหานี้กับ Twilio แล้วเมื่อเดือนกรกฏาคมที่ผ่านมา ทาง Twilio จึงแจ้งและเข้าร่วมกับนักพัฒนาแอปพลิเคชันเพื่อแก้ปัญหาดังกล่าว

นักวิจัยพบ 685 แอปพลิเคชันมี Credential ของ Twilio ภายในโค้ด

Appthority ได้เฝ้าระวังปัญหาที่เกิดจากการเก็บ Sensitive Data ภายในแอปพลิเคชันต่อไปภายใต้รหัสย่อ Eavesdropper “เราพบว่าช่องโหว่นี้ในแอปพลิเคชันระดับองค์กรกว่า 685 องค์กร (แบ่งเป็น 44% บน Android และ 56% บน IOS) และปรากฏว่ามี Credential กว่า 85 บัญชีของนักพัฒนาถูกพบในกรณีนี้“–ทีม Appthority กล่าว นอกจากนี้สถิติเมื่อสิ้นเดือนสิงหาคม 2017 ยังพบแอปพลิเคชันดังกล่าวยังปรากฏอยู่บน Google Play จำนวน 75 แอปพลิเคชันและบน ios จำนวน 102 แอปพลิเคชัน โดยมีสถิติในการดาวน์โหลดแอปพลิเคชันเหล่านี้ไปแล้วกว่า 180 ล้านครั้ง

แอปพลิเคชันที่ได้รับผลกระทบมีการใช้งานกว่า 100 ล้านครั้งของโทรศัพท์และข้อความ

จากหลักฐานที่พบนักวิจัยกล่าวว่าขอบเขตผลกระทบน่าจะกินวงกว้างกับบันทึกโทรศัพท์กว่า 100 ล้านครั้งประกอบด้วย เวลาที่ใช้คุยโทรศัพท์ บันทึกเสียง และข้อความ นอกจากนี้ยังพบว่า 1 ใน 3 ของแอปพลิเคชันที่ได้รับผลกระทบมีความเกี่ยวพันกับองค์กร นั่นอาจจะเป็นส่วนช่วยให้แฮ็กเกอร์ได้รับสิทธิ์เข้าถึงข้อมูลสำคัญเช่น ข้อมูลการเงินหรือการใช้โทรศัพท์เพื่อคุยธุรกิจและการแจ้งเตือนข้อความ อย่างไรก็ตามปัณหาไม่ได้จำกัดอยู่ที่แอปพลิเคชันด้านธุรกิจเท่านั้น เช่นทีม Appthority อ้างว่าพบ Twilio Credential ในแอปพลิเคชันสำหรับการสื่อสารที่มีความมั่นคงปลอดภัยระหว่างหน่วยงานบังคับใช้กฏหมาย รวมถึงแอปพลิเคชันนำทางสำหรับลูกค้าของ AT&T และ US Cellular

ต้องโทษนักพัฒนาแอปพลิเคชัน

สาเหตุของ Eavesdropper เกิดจากที่นักพัฒนาไม่ใส่ใจ มีหลากหลายกรณีในอดีตที่นักพัฒนาได้ทิ้ง API และ Credential ของเซิร์ฟเวอร์ไว้ภายใน Source code ของแอปพลิเคชันเองแทนที่จะเก็บไว้ในที่มั่งคงปลอดภัยหรือฐานข้อมูลภายนอก มีผลวิจัยจากบริษัทด้านความมั่นคงปลอดภัยอย่าง Fallible Study รายงานว่าเมื่อต้นปีมีแอปพลิเคชันกว่า 2,500 จาก 16,000 แอปพลิเคชันที่มี Credential บางอย่างอยู่ภายในเช่น Twitter, Dropbox, Instagram, Slack, Flickr หรือ Amazon Web Services

ที่มา : https://www.bleepingcomputer.com/news/security/-eavesdropper-vulnerability-exposes-millions-of-private-conversations/



About nattakon

Check Also

คอมพิวเตอร์และโน๊ตบุ๊คกว่า 900 รุ่นได้รับผลกระทบจากช่องโหว่ Intel ME

หลังจากที่ Intel ออกมายอมรับอย่างเป็นทางการว่า มีช่องโหว่ร้ายแรง 8 รายการบนชิป Intel Management Engine (ME) เมื่อ 3 วันก่อน ล่าสุด ทางเจ้าของผลิตภัณฑ์คอมพิวเตอร์และเซิร์ฟเวอร์ชื่อดังทั้ง …

HPE Thailand แนะวิธีอัปเดต Patch ช่องโหว่ Intel บน HPE Proliant Gen9 และ Gen10

HPE Thailand ได้ส่งจดหมายข่าวเกี่ยวกับวิธีการอัปเดต Patch เพื่ออุดช่องโหว่ของ Intel บน HPE ProLiant Server ทั้ง Gen9 และ Gen10 เพื่อให้เหล่าลูกค้าองค์กรนำไปใช้อัปเดต …