Um simples erro na programação de apps deixa as credenciais de acesso a SMS, chamadas e outros serviços fornecidos pela Twilio. Entre as apps afetadas estão algumas de GPS criadas pela Telenav, a AT&T Navigator, entre outras. Segundo a Appthority, cerca de 700 apps têm esta vulnerabilidade e estão instaladas em mais de 180 milhões de smartphones Android e num número não revelado de telefones com iOS.
Os hackers conseguem ter acesso aos dados de telefonemas, SMS e outros serviços com as credenciais encontradas no código das apps. A Appthority não detalha quais as apps que usam os serviços da Twilio e que possam estar afetadas por esta vulnerabilidade, mas sabe-se que Uber e Netflix, por exemplo, fazem parte da carteira de clientes da Twilio. No entanto, as grandes empresas costumam ter também as suas próprias equipas de segurança a rever o código usado nas apps.
Sean Hardy, da Apthority, alerta que este problema acontece com frequência com serviços de terceiros. «Detetamos frequentemente que, se fazem um erro com um serviço, vão replicar o erro para outros», disse Hardy, citado pela Reuters.
A Amazon, por exemplo, já foi afetada com 902 credenciais de developers dos Amazon Web Services a serem encontradas num scan de mais de 20 mil apps. Essas credenciais davam acesso a dados de utilizador guardados nos AWS.
A Twilio adverte os programadores que deixar as credenciais nas apps pode dar acesso ilícito aos hackers, pelo que este erro terá origem nos programadores que usam os seus serviços e não na empresa em si. Um representante da Twilio já confirmou que estão a trabalhar com os programadores para alterar as credenciais nas contas afetadas.
