ช่องโหว่ Eavesdropper เปิดเผยถึงบทสนทนาส่วนตัวหลายล้านรายการ

Appthority บริษัทด้านความมั่นคงปลอดภัยพบว่านักพัฒนาหลายสิบรายทิ้ง Credential ของ Twilio API ไว้ใน Code ของหลายร้อยแอปพลิเคชัน ซึ่งอาจทำให้แฮ็กเกอร์สามารถค้นหา Credential และยกระดับสิทธิ์เพื่อเข้าถึงการสนทนาหรือการใช้ข้อความของจากแอปพลิเคชันของผู้ใช้งานได้ ซึ่งคาดว่ามีบทสทนาส่วนตัวหลายล้านรายการได้รับผลกระทบ

Twilio Cloud Service เป็นบริการที่ช่วยให้แอปพลิเคชัน Third-party สามารถรับส่งโทรศัพท์หรือข้อความจากผู้ให้บริการโทรศัพท์หลายเจ้าได้ผ่านทาง API โดย Appthority Mobile Threat Team (MTT) ได้พบแอปพลิเคชันที่มีการทิ้ง Credential ของ Twilio API ไว้ใน Code เมื่อเดือนเมษายนและได้แจ้งปัญหานี้กับ Twilio แล้วเมื่อเดือนกรกฏาคมที่ผ่านมา ทาง Twilio จึงแจ้งและเข้าร่วมกับนักพัฒนาแอปพลิเคชันเพื่อแก้ปัญหาดังกล่าว

นักวิจัยพบ 685 แอปพลิเคชันมี Credential ของ Twilio ภายในโค้ด

Appthority ได้เฝ้าระวังปัญหาที่เกิดจากการเก็บ Sensitive Data ภายในแอปพลิเคชันต่อไปภายใต้รหัสย่อ Eavesdropper “เราพบว่าช่องโหว่นี้ในแอปพลิเคชันระดับองค์กรกว่า 685 องค์กร (แบ่งเป็น 44% บน Android และ 56% บน IOS) และปรากฏว่ามี Credential กว่า 85 บัญชีของนักพัฒนาถูกพบในกรณีนี้“–ทีม Appthority กล่าว นอกจากนี้สถิติเมื่อสิ้นเดือนสิงหาคม 2017 ยังพบแอปพลิเคชันดังกล่าวยังปรากฏอยู่บน Google Play จำนวน 75 แอปพลิเคชันและบน ios จำนวน 102 แอปพลิเคชัน โดยมีสถิติในการดาวน์โหลดแอปพลิเคชันเหล่านี้ไปแล้วกว่า 180 ล้านครั้ง

แอปพลิเคชันที่ได้รับผลกระทบมีการใช้งานกว่า 100 ล้านครั้งของโทรศัพท์และข้อความ

จากหลักฐานที่พบนักวิจัยกล่าวว่าขอบเขตผลกระทบน่าจะกินวงกว้างกับบันทึกโทรศัพท์กว่า 100 ล้านครั้งประกอบด้วย เวลาที่ใช้คุยโทรศัพท์ บันทึกเสียง และข้อความ นอกจากนี้ยังพบว่า 1 ใน 3 ของแอปพลิเคชันที่ได้รับผลกระทบมีความเกี่ยวพันกับองค์กร นั่นอาจจะเป็นส่วนช่วยให้แฮ็กเกอร์ได้รับสิทธิ์เข้าถึงข้อมูลสำคัญเช่น ข้อมูลการเงินหรือการใช้โทรศัพท์เพื่อคุยธุรกิจและการแจ้งเตือนข้อความ อย่างไรก็ตามปัณหาไม่ได้จำกัดอยู่ที่แอปพลิเคชันด้านธุรกิจเท่านั้น เช่นทีม Appthority อ้างว่าพบ Twilio Credential ในแอปพลิเคชันสำหรับการสื่อสารที่มีความมั่นคงปลอดภัยระหว่างหน่วยงานบังคับใช้กฏหมาย รวมถึงแอปพลิเคชันนำทางสำหรับลูกค้าของ AT&T และ US Cellular

ต้องโทษนักพัฒนาแอปพลิเคชัน

สาเหตุของ Eavesdropper เกิดจากที่นักพัฒนาไม่ใส่ใจ มีหลากหลายกรณีในอดีตที่นักพัฒนาได้ทิ้ง API และ Credential ของเซิร์ฟเวอร์ไว้ภายใน Source code ของแอปพลิเคชันเองแทนที่จะเก็บไว้ในที่มั่งคงปลอดภัยหรือฐานข้อมูลภายนอก มีผลวิจัยจากบริษัทด้านความมั่นคงปลอดภัยอย่าง Fallible Study รายงานว่าเมื่อต้นปีมีแอปพลิเคชันกว่า 2,500 จาก 16,000 แอปพลิเคชันที่มี Credential บางอย่างอยู่ภายในเช่น Twitter, Dropbox, Instagram, Slack, Flickr หรือ Amazon Web Services

ที่มา : https://www.bleepingcomputer.com/news/security/-eavesdropper-vulnerability-exposes-millions-of-private-conversations/