总部位于美国旧金山的移动应用安全公司Appthority9日警告,因使用一家企业的工具包,近700个手机应用程序(APP)在开发过程中出现缺陷,导致上亿用户面临通信内容泄露的风险。
该公司安全研究主任塞思·哈迪说,由于一些开发者在使用美国云通信平台公司Twilio软件开发工具包开发应用程序时,不慎将用户密码写进了程序代码中,致使多达685个应用程序出现漏洞,这样黑客无需破解手机或入侵电脑,只需找到使用了Twilio工具包的应用程序,寻找其代码中的的用户账户和密码,就可以得到安装了这些程序的设备传来的用户通信内容数据。
该安全公司称,受影响的应用程序包括由美国电话电报公司(AT&T)预装在很多安卓手机上的导航应用,以及由泰为公司(Telenav Inc.)发布的GPS导航应用程序。目前已知受影响的各类应用程序仅在安卓市场的总下载次数就高达1.8亿次,在苹果应用商店的下载次数还未公布。
目前,越来越多第三方服务提供商为企业提供通信服务,该案例凸显出这种做法隐含的风险。Appthority强调,这些漏洞并不是Twilio本身的过失,该公司将各种底层通信功能打包成工具包,方便企业或开发人员在开发应用程序时无需自行撰写通信协议,但如果开发人员未能遵守使用规定则可能无意中引发安全漏洞。
截至目前,所有涉事公司均未对该警告作出回应。