أخبار

180 مليون هاتف ذكي معرض للاختراق

حذرت شركة أمن سيبراني من أن 180 مليون هاتف ذكي تتعرض لخطر تشفير بعض الرسائل النصية والمكالمات من قبل القراصنة، جراء خطأ بسيط في الترميز في ما لا يقل عن 685 تطبيقا.

وعلق مدير أبحاث الأمن السيبراني في شركة “أبثوريتي”، الخميس 9 نوفمبر، قائلا إن مطورين قاموا عن طريق الخطأ بترميز اعتمادات تسمح بالدخول إلى رسائل نصية ومكالمات وخدمات أخرى تقدمها شركة تويليو.

وأشار الخبراء إلى أن هذا الخطأ يوفر وثائق التفويض اللازمة للحصول على الخدمات التي تقدمها شركة تويليو، وهي منصة اتصالات سحابية تسمح لمطوري البرامج بإجراء وتلقي المكالمات الهاتفية وإرسال رسائل نصية واستبقالها برمجيا من خلال واجهة برمجة التطبيقات لخدمة الويب خاصتها.

ويمكن للقراصنة الوصول إلى تلك البيانات من خلال مراجعة التعليمات البرمجية في التطبيقات، ثم الوصول إلى البيانات المرسلة عبر تلك الخدمات.

وتتطلب الثغرة ثلاث خطوات لتنفيذها وهي الاستطلاع والاستغلال والتدفق، بحيث يمكن للقراصنة البحث أولا عن التطبيقات التي تستعمل تويليو، ومن ثم يستعملون أداة مثل VirusTotal أو YARA للعثور على التطبيقات التي تحدد السلاسل داخل التطبيقات ومن ثم البحث عن سلسلة “تويليو”، وبمجرد الانتهاء من ذلك، يمكن للهاكرز تحديد وثائق اعتماد تويليو، والتي تحتوي على 34 حرف “Twilio ID” و32 حرفا/ كلمة المرور.

وقال سيث هاردي مدير الأبحاث الأمنية في شركة “أبثوريتي” إن بإمكان الهاكرز الوصول إلى تلك البيانات من خلال مراجعة التعليمات البرمجية في التطبيقات، ومن ثم الوصول إلى البيانات المرسلة عبر تلك الخدمات.

وتسلط النتائج الضوء على التهديدات الجديدة التي يجلبها الاستخدام المتزايد لخدمات الطرف الثالث مثل شركة “تويليو”، والتي توفر تطبيقات محمولة مع وظائف مثل الرسائل النصية والمكالمات الصوتية.

ويمكن للمطورين أن يوفروا عن غير قصد ثغرات أمنية إذا لم يقوموا ببرمجة أو إعداد هذه الخدمات بشكل صحيح، وأضاف هاردي: “هذا الأمر لا يقتصر على شركة تويليو، إنها مشكلة شائعة عبر خدمات الطرف الثالث، وغالبا ما نلاحظ أنه إذا ارتكب المبرمج خطأ مع خدمة واحدة فإنه سوف يفعل ذلك مع خدمات أخرى أيضا”.

وفي المقابل أكد متحدث باسم شركة “تويليو” أنه لا دليل لدى الشركة على أن الهاكرز قد استخدموا هذا الخطأ الموجودة ضمن التطبيقات للوصول إلى بيانات العملاء، ولكنها تعمل مع المطورين من أجل تغيير وثائق التفويض فيما يخص الحسابات المتأثرة.