云通讯公司Twilio曝“窃听者”漏洞数亿通话、短信数据或泄露

点击：65 发布时间：2021-04-29 10:35:54

       移动应用安全公司Appthority发现一个数据泄露漏洞“窃听者”（Eavesdropper），影响了近700个企业环境中使用的应用程序。

       攻击者能访问Twilio账户中的所有元数据

       Appthority指出，开发人员通过Twilio Rest API or SDK接口开发移动应用程序时使用了硬编码凭证。开发人员这样做能对云通讯公司Twilio账户中存储的所有元数据进行“全局访问”，包括短信息、通话元数据和录音。

       云通讯公司 Twilio

       Twilio是一个专注通讯服务的开放PaaS平台，它通过将复杂的底层通信功能打包成 API 并对外开放，让 web、桌面及移动应用可以方便地嵌入短信、语音及 VoIP 功能，从而实现云通信功能。企业可以直接通过他们的 API 接口接入语音和短信服务，无需运营商、无需进行复杂的通信认证审核、也无需添置和维护各种通信设备，所以极大地方便了企业和开发者。

       Twilio创立于美国旧金山，其短信业务范围已覆盖 150 多个国家和地区，但电话服务仅可在 12 个国家适用。与Twilio有业务往来的科技公司分布多个行业。例如，共享经济创业公司Uber、Airbnb，即时通讯公司WhatsApp，云存储公司Box，SaaS公司Salesforce，电商eBay、Shopify，流媒体公司Hulu等等。利用这些平台提供的服务，WhatsApp用户可以通过电话号码查找好友，而Uber乘客则可以呼叫或发消息给司机。

       中国也有类似的企业——中国的容联云通讯平台，其客户则包括BAT、京东、360、小米等等。