Até 180 milhões de proprietários de celulares correm o risco de terem algumas de suas mensagens de texto e ligações interceptadas por hackers por causa de um simples erro de codificação em pelo menos 685 aplicativos, afirmou a empresa de segurança cibernética Appthority, nesta quinta-feira (9).
Os desenvolvedores codificaram equivocadamente credenciais de acesso aos serviços fornecidos pela Twilio, disse o diretor de segurança da Appthority, Seth Hardy. Os hackers podem acessar essas credenciais, revisando o código nos aplicativos e, em seguida, obter acesso aos dados enviados por esses serviços, disse ele.
As descobertas destacam as novas ameaças impostas pelo crescente uso de serviços terceirizados, como a Twilio, que fornecem aos aplicativos funções como mensagens de texto e ligações de áudio. Os desenvolvedores podem, acidentalmente, introduzir vulnerabilidades de segurança se não codificam ou configuram corretamente esses serviços.
“Isso não se limita apenas ao Twilio. É um problema comum em serviços terceirizados”, disse Hardy. “Muitas vezes percebemos que se cometerem um erro com um serviço, eles também o farão com outros.”
Muitos aplicativos usam a Twilio para enviar mensagens de texto, processar chamadas telefônicas e lidar com outros serviços. Os hackers podem acessar dados relacionados se fizerem login nas contas do desenvolvedor da Twilio, disse Hardy.
Leia também
Os erros foram causados por desenvolvedores, e não pela Twilio, disse Hardy. O site da empresa avisa que os desenvolvedores que deixam credenciais em aplicativos podem expor suas contas a hackers.
O porta-voz da Twilio, Trak Lord, disse que a empresa não tem provas de que hackers tenham usado credenciais codificadas em aplicativos para acessar dados de clientes, mas que estava trabalhando com desenvolvedores para alterar as credenciais em contas afetadas.
A Appthority disse que também avisou a Amazon.com que encontrou credenciais de pelo menos 902 contas de desenvolvedores no fornecedor de serviços de nuvem Amazon Web Services em uma varredura de 20.098 aplicativos diferentes.
Essas credenciais podem ser usadas para acessar dados do usuário do aplicativo armazenados na Amazon, disse Hardy.
Um representante da varejista online não comentou o assunto.