De acordo com uma varredura feita pela empresa de segurança Appthority, quase 700 aplicativos de mensagens instantâneas para iOS e Android estavam expondo a identidade de usuários, bem como o conteúdo de suas mensagens e outras interações por conta de uma brecha relativamente simples. Bastava um hacker com tempo suficiente vasculhar o código do app para ter acesso às credenciais do desenvolvedor e, com isso, monitorar todo o tráfego de conversas.
Isso aconteceu porque esses apps usavam a API para mensageiros do Twilio. Desenvolvedores usam esse recurso para que não seja necessário escrever protocolos de comunicação totalmente do zero. Essa API era o elemento que proporcionava a falha. Segundo a Appthority, 685 apps disponíveis na App Store da Apple e na Google Play da Google contavam com a vulnerabilidade.
“A vulnerabilidade foi batizada de Eavesdropper (espião ou bisbilhoteiro em português) porque os desenvolvedores efetivamente deram acesso global a mensagens, metadados de chamadas de voz e a gravações em todos os apps que eles criaram com as credenciais expostas no código”, disse Michael Bentley, da Appthority.
Como aconteceu
Todos os apps desenvolvidos com a API do Twilio para comunicação levavam no código as credenciais do desenvolvedor para acessar a plataforma. Depois de encontrar esses dados vasculhando o código do app, um hacker poderia entrar na plataforma e espionar essencialmente tudo o que estava sendo falado ou digitado. A situação poderia ser ainda mais crítica considerando que um terço de todos os apps afetados era corporativo. Em outras palavras, muitas empresas poderiam ter sido espionadas através de suas próprias ferramentas de comunicação com certa facilidade.
O Twilio, por sua vez, afirma que não há vestígios de exploração da brecha por nenhum tipo de criminoso até o momento. Depois de ser notificado, o serviço atualizou sua API para corrigir a falha. Contudo, até o fim de agosto deste ano, ainda haviam 102 apps vulneráveis na App Store e 85 na Google Play. Não foram revelados os nomes dessas ferramentas inseguras, entretanto.
Fontes