Un nuevo bug podría exponer millones de mensajes

Escrito por Nacho Teso (@nachoteso)

La seguridad en los dispositivos que utilizamos en nuestro día a día es una de las cuestiones que debemos tener más presentes. Recientemente se han dado casos como KRACK, que afectaba a las redes Wifi, y ahora nos encontramos ante Eavesdropper, un nuevo bug que podría exponer millones de mensajes.

Eavesdropper, un bug que pone en peligro tus conversaciones

Las aplicaciones de mensajería instantánea son de las más utilizadas por los usuarios de smartphones. WhatsApp, Telegram, Messenger, los SMS… Existen muchas y en ellas volcamos toda clase de información que creemos compartir solo con la persona que recibe nuestros mensajes.

Eavesdropper, un bug descubierto por los miembros de Appthority, es una vulnerabilidad que permitiría a un hacker acceder a esas conversaciones en busca de datos personales e información de interés de la que aprovecharse. El equipo investigador asegura que afecta a más de 700 apps, sobre todo en el sector empresarial.

Servicios de Twilio

El ataque se puede realizar sobre aplicaciones de mensajería que utilicen la API de Twilio, una plataforma de comunicación basada en la nube centrada en mensajes SMS, grabaciones de voz y otros tipos de chats. Los desarrolladores que no han seguido las medidas de seguridad recomendadas han dejado expuestos todos esos datos, que son fáciles de “escuchar” (de ahí el nombre del bug).

Un ataque en tres pasos

Las aplicaciones de Android afectadas han sido descargadas un total de 180 millones de veces. Desde Appthority ya informaron a Twilio sobre el problema a mediados de este 2017, pero el agujero de seguridad existe desde el año 2011.

El ataque se podría realizar en tan solo tres pasos.: reconocimiento, explotación y extracción. El primer paso consiste en encontrar aplicaciones que utilicen la API de Twilio, dado que es el motivo por el que existe el fallo de seguridad y es el software a atacar. El segundo paso es utilizar herramientas capaces de leer e identificar strings dentro del código. Se busca el correspondiente a “twilio” y se encuentran tanto el ID de acceso como su contraseña correspondiente. Finalmente, la fase de extracción permite utilizar otros programas para conseguir los datos, lo que incluye la posibilidad de convertir las notas de audio a texto.

Ejemplo de datos revelados con Eavesdropper

El peligro que supone un bug de estas características es evidente, sobre todo en el entorno empresarial, que es el más afectado y el que más maneja información confidencial de toda clase. Los grandes culpables de esto son los desarrolladores que no han seguido las guías de seguridad. Queda por ver cómo puede afectar esto al resto de usuarios, que ven cómo Android puede fallar hasta tres veces con el mismo malware.

Fuente > Appthority