La vulnerabilidad de Eavesdropper expone cientos de aplicaciones móviles
Steve Blum, investigador vital en Tellus Venture Associates, llamó la atención sobre esto solo por el letargo de los ingenieros, a causa de terribles prácticas en esta línea que generan malos resultados. Desde entonces, un individuo solitario o un pequeño grupo que desarrolla tales aplicaciones no proporciona control de calidad.
La codificación de las acreditaciones es un error típico del ingeniero, que a lo largo de estas líneas incrementará las posibilidades de seguridad en las aplicaciones.
Esto fue descubierto por Appthority en abril y notifico a Twilio sobre las cuentas expuestas en el mes de julio, la consecuencia de esto es la exposición de grandes cantidades de datos sensibles e incluso hasta históricos, como registros de llamadas, minutos de llamadas realizadas y minutos de grabaciones de audio llamadas, y contenidos de mensajes de texto SMS y MMS.
Codificación Sloppy
La indefensión ha proporcionado una presentación de información a gran escala, donde las aplicaciones de Android influenciadas acaban de ser descargadas hasta 180 millones de veces, Appthority dio un peligro advirtiendo a 700 aplicaciones portátiles, incluidas 170 que en ese momento eran dinámicas en tiendas de aplicaciones oficiales, debido a la indefensión de Eavesdropper.
La seguridad se vería como un centro de costos, debido a la demasiada frecuencia, y la privacidad como productor de ingresos para la compañía desarrolladora, sin embargo Roger Entner, aconsejo que para que exista una mejor seguridad y privacidad era necesario un cambio de paradigma en la codificación general.
No hay una solución fácil
Paul Tecih, experto principal de Tirias Research, mencionó que no hay otra opción para los compradores que no sea desinstalar totalmente cada una de las aplicaciones que fueron influenciadas y confiar en que su información no ha sido negociada.
Spy no se basa en la base del gadget ni aprovecha vulnerabilidades diferentes en el marco de trabajo, que es una preocupación notable. La debilidad no se soluciona a raíz de la expulsión de la aplicación del gadget, a decir verdad, la información de la aplicación se descubrirá hasta el momento en que las acreditaciones se hayan actualizado con eficacia.
A pesar del hecho de que Twilio podría obligar a todos los diseñadores a actualizar su código de aplicación, tendría un efecto sorprendente, haciendo que la variedad de aplicaciones dejara de funcionar mientras tanto.
Eliminar aplicaciones vulnerables
Hardy aconsejo, que pidieran al equipo de seguridad de TI una lista de aplicaciones aprobadas para eliminar las vulnerables e instalar la que no sean de Eavesdropper, mientras que Teich dijo con mucha preocupación que “El gran desafío es cómo detener el flujo de información de esta brecha sin dejar de proporcionar acceso a servicios valiosos”, los consumidores por preferir la facilidad de eso, dejaron de un lado la seguridad de su dispositivo.