Eavesdropper: pepijat yang boleh mendedahkan berjuta-juta mesej

Keselamatan peranti mudah alih kami semakin berisiko. Beberapa minggu yang lalu, serangan KRACK meletakkan pemeriksaan keselamatan peranti di seluruh dunia. Sekarang, kita menghadapi bahaya baru. Dalam kes ini, ia adalah Eavesdropper, satu bug yang boleh mendedahkan berjuta-juta mesej.

Eavesdropper: Satu pepijat yang boleh mendedahkan berjuta-juta mesej

Eavesdropper adalah kerentanan yang membolehkan penggodam mengakses perbualan pengguna yang ada dalam aplikasi seperti WhatsApp, Telegram atau Messenger. Jadi mereka boleh mengakses data peribadi yang dikongsi pengguna dalam perbualan peribadi ini. Kelemahan ini menjejaskan lebih daripada 700 aplikasi.

Serangan bogel dalam tiga langkah

Aplikasi Android yang terjejas oleh kelemahan ini telah dimuat turun lebih daripada 180 juta kali. Jadi bilangan pengguna yang boleh menjadi mangsa sangat besar. Ia berdasarkan aplikasi yang menggunakan API Twilio. Kecacatan keselamatan telah ditemui di sana, walaupun kecacatan itu berlaku sejak tahun 2011. Walaupun Twilio dimaklumkan mengenainya pada pertengahan tahun ini.

Serangan ini terdiri daripada tiga bahagian: Pengiktirafan, eksploitasi dan pengekstrakan. Pertama adalah aplikasi yang menggunakan API Twilio. Langkah kedua ialah menggunakan alat yang mampu membaca dan mengenal pasti rentetan dalam kod. Sedangkan pada fasa akhir, program lain digunakan untuk mengekstrak data pengguna. Ia juga mungkin untuk menukar nota audio ke teks.

Bahaya yang ditimbulkan oleh Eavesdropper adalah jelas. Persekitaran perniagaan seolah-olah menjadi yang paling terjejas oleh kelemahan ini, begitu banyak data sensitif dapat jatuh ke tangan yang salah. Kami perlu menunggu untuk melihat kesan Eavesdropper di Android.