La empresa de seguridad móvil Appthority afirma que casi 700 aplicaciones utilizadas en empresas están afectadas por una vulnerabilidad que ha tenido como resultado una “exposición de datos a gran escala”.

La firma explica que dicha vulnerabilidad, conocida por el nombre de Eavesdropper, es una “amenaza actual y genuina”, con efectos sobre más de 170 aplicaciones que se encuentran todavía en las tiendas oficiales. Las aplicaciones Android afectadas se han descargado hasta 180 millones de veces.

Appthority ha afirmado que la lista incluye una aplicación de comunicaciones seguras utilizada por un cuerpo policial federal; una aplicación que permite a los equipos de ventas grabar discusiones y añadirles comentarios en tiempo real, y aplicaciones de navegación con marca y de marca blanca “para clientes tales como AT&T y US Cellular”.

La aparición de Eavesdropper se debe a que los desarrolladores “introducen sus credenciales en código duro dentro de aplicaciones que usan la interfaz de programación de aplicaciones o el kit de desarrollo de aplicaciones de Twilio Rest”, aunque la documentación de la propia empresa comente dicha práctica y Twilio haya contactado con los desarrolladores implicados.

Pero la firma de seguridad afirma que el problema no es específico de los desarrolladores que crean aplicaciones con Twilio, porque “la introducción de credenciales en código duro es una práctica habitual entre los desarrolladores e incrementa los riesgos de seguridad de las aplicaciones móviles”. Explica que los desarrolladores que lo hacen una vez suelen mostrar una “fuerte tendencia” a repetir el mismo error con otros servicios y herramientas.

Eavesdropper no precisa de un Jailbreak ni del Root del dispositivo, ni tampoco parte de una vulnerabilidad ya conocida, ni ataca mediante malware. Appthority ha escrito que “esta vulnerabilidad demuestra que un simple fallo que comete el desarrollador al exponer sus credenciales en una aplicación puede afectar a familias más amplias de aplicaciones de ese mismo desarrollador, que usan las mismas credenciales, e incluso ponen en peligro otras aplicaciones en las que se han seguido prácticas más recomendables, porque atacan por canales secundarios e históricos.”