Appthority: Οι προγραμματιστές εφαρμογών που χρησιμοποιούν το Twilio είναι ανεύθυνοι.
Η γνωστή εταιρία προστασίας στο διαδίκτυο, η Appthority, διαπίστωσε ότι πολλοί προγραμματιστές εφαρμογών έχουν αφήσει τα διαπιστευτήρια των προϊόντων τους αποκωδικοποιημένα και κατ’ επέκταση εκτεθειμένα, επειδή κάνουν χρήση τις υπηρεσίες επικοινωνιών Twilio. Με αυτό τον τρόπο, σημειώνουν ότι είναι σχετικά εύκολο για τους χάκερς να αποκτήσουν πρόσβαση σε υπηρεσίες επικοινωνίας, όπως κλήσεις και γραπτά μηνύματα. Η εταιρεία δημοσίευσε τα ευρήματά της στην ιστοσελίδα της .
Μια από τις βασικές ιδέες στην επιστήμη των λογισμικών και των εφαρμογών είναι η χρήση κώδικα που έχει γραφτεί για περισσότερους από έναν σκοπό – ούτως ώστε να απλουστευθεί παντελώς η διαδικασία δημιουργίας, δίνοντας έτσι σε άλλους προγραμματιστές την ίδια λειτουργικότητα, χωρίς να χρειαστεί να ξαναγράψουν κώδικα. Το μόνο που χρειάζεται να κάνει κάποιος είναι να επικαλεστεί τη διαδικασία χρησιμοποιώντας μοναδικές, ίδιες ή διαφορετικές παραμέτρους ανάλογα την περίσταση.
Τα τελευταία χρόνια, αυτή η έννοια έχει επεκταθεί για να αναβαθμιστεί η συνεργασία μεταξύ των εταιρειών σε υψηλό ποιοτικό επίπεδο και με λιγότερα προβλήματα – δηλαδή, μία εταιρεία μπορεί να γράψει κώδικα που μπορεί νόμιμα να το χρησιμοποιήσει κάποιος άλλος, αρκεί να έχει την απαιτούμενη άδεια χρήσης του λογισμικού. Η Twilio είναι μια τέτοια εταιρεία
Εν ολίγοις η Twilio γράφει κώδικα που χρησιμοποιείτε εξ ολοκλήρου για τις επικοινωνιακές δυνατότητες των φορητών συσκευών. Τα μέσα με τα οποία οι νέες εφαρμογές αλληλεπιδρούν με το λογισμικό από το Twilio είναι μέσω των API, τα οποία στέλνουν διαπιστευτήρια (πληροφορίες που αναγνωρίζουν την εφαρμογή ως νόμιμο κάτοχο).
Όμως, όπως σημειώνει η Twilio στην ιστοσελίδα της, οι προγραμματιστές εφαρμογών έχουν την ελευθερία να χρησιμοποιήσουν ένα μη αξιόπιστο κωδικοποιημένο μέσο αποθήκευσης αυτών των διαπιστευτηρίων (όπως αποθήκευση σε ξεχωριστό κρυπτογραφημένο αρχείο). Όπως αποδεικνύεται, ωστόσο, πολλοί προγραμματιστές εφαρμογών, λόγω βαρεμάρας έχουν κάνει μια συντόμευση και έχουν κωδικοποιήσει τα διαπιστευτήρια μέσα στον κώδικα της εφαρμογής τους. Αυτό σημαίνει ότι ένας χάκερ που παραβιάζει τον κώδικα της εφαρμογής μπορεί πολύ εύκολα να αποκτήσει πρόσβαση στα διαπιστευτήρια και να τα χρησιμοποιήσει για να αποκτήσει πρόσβαση στις υπηρεσίες επικοινωνίας των χρηστών.
Η έκθεση αναφέρει ότι έχουν βρει πάνω από 700 εφαρμογές με τρωτά σημεία στην ασφάλεια, συμπεριλαμβανομένων 170, οι οποίες έχουν εκδιωχθεί επίσημα από τα app καταστήματα. Η Appthority σημειώνει, ότι αυτό σημαίνει πως σήμερα εκατομμύρια χρήστες σε όλο τον κόσμο βρίσκονται εκτεθειμένοι σε σημαντικό κίνδυνο, δηλαδή κάποιος χάκερ μπορεί να παρακολουθεί τις κλήσεις που κάνει κάποιο άτομο, όπως η διάρκεια κτλ – και το σημαντικότερο είναι πως μπορεί να έχει πρόσβαση στο περιεχόμενο των μηνυμάτων SMS, SMA και MMS.