Twilio bygger chattjänster som utvecklare kan stoppa in i sina appar. Men en ny rapport visar att många använt mjukvaran fel – och att hundratals miljoner slutanvändare får sota för det.

Säkerhetsfirman Appthority har upptäckt 685 appar som använder Twilios tjänster fel. Utvecklarna har av misstag lämnat sina inloggningsuppgifter i källkoden. Med hjälp av dem kan vem som helst logga in i Twilios system och läsa alla privata meddelanden och annan information som skickats via apparna.

Läs också: Sårbarhet i processorn – Intel-datorer kan hackas via usb-porten

”Vi kallar sårbarheten Eavesdropper eftersom utvecklarna i praktiken ger global tillgång till textmeddelanden, metadata om samtal och röstinspelningar från alla appar de skapat med sina inloggningsuppgifter [från Twilio]”, skriver Appthority i sin rapport.

Appthority har inte gått ut med en fullständig lista över drabbade appar, men Reuters nämner bland annat mjukvara från AT&T och ”fler än ett dussin” gps-appar från Telenav. De har installerats på uppemot 180 miljoner Android-enheter, och ett okänd antal Iphones och Ipads.

Läs också: Ska du koppla upp ditt hem? Det tar bara minuter innan hackarna hittar dig

Firman upptäckte sårbarheten redan i juli och har sedan dess jobbat på att meddela utvecklarna om säkerhetsrisken. Många har sedan dess åtgärdat problemet, men det finns fortfarande runt 100 sårbara appar på App Store och Google Play respektive.

Säkerhetshålen orsakades av apputvecklare som använder Twilio, inte av bolaget själva. Men Twilios aktiekurs dök ändå med nästan sju procent efter att nyheten släpptes.