« Des développeurs codent imprudemment leurs codes d’accès dans des applications mobiles qui utilisent l’API [connecteur logiciel, ndlr] ou le SDK [kit de développement] Twilio Rest », a expliqué Appthority dans une contribution blog datée du 9 novembre.

Cette vulnérabilité offre la possibilité à des pirate d’accéder aux méta-données de leurs comptes Twilio (fournisseur de modules d’outils de communication pour apps mobiles), incluant les SMS, les informations portant sur les appels téléphoniques et les enregistrements des échanges vocaux.

Selon Appthority, au moins 685 applications d’entreprise sont concernées (44% Android, 56% iOS), dont 170 étaient encore proposées dans les app stores d’Apple et Google fin août.

À elles seules, les applications Android rendues vulnérables par cette faille auraient été téléchargées plus de 180 millions de fois, évoque l’éditeur dans un billet de blog.