Недостатъкът на сигурността в популярното приложение за iPhone разкрива хиляди записи на разговори
Популярен iPhone приложението за запис на разговори излага записите на хиляди данни на потребители, установи изследовател по сигурността.
The Call Recorder приложението съдържа уязвимост в сигурността, която позволява на трети страни да имат достъп до цялата библиотека от записи на потребителя, само като знаят техния телефонен номер. Apple не предлага записването на разговори като функция за акции на iPhone, така че тези, които желаят да го направят лесно
Известен изследовател по сигурността Ананд Пракаш от PingSafe AI успя да подуши недостатъка, използвайки прокси, за да замени телефонния си номер с номера на друг потребител. Това му позволи да слуша записи по желание.
Производителите на приложения с гордост твърдят, че приложението е изтеглено над 1 милион пъти и казва, че е било топ 20 за бизнес приложения в 20 държави.
„Атакуващият може да предаде номер на друг потребител в заявката за записи и API ще отговори с url за запис на кофата за съхранение без никакво удостоверяване“, пише изследователят. „Освен това изтича цялата история на обажданията на жертвата и номерата, на които са били осъществени обажданията.“
Той добави: „Уязвимостта позволява на всеки злонамерен актьор да слуша записа на разговори на всеки потребител от облачното хранилище кофа на приложението и неаутентифицирана крайна точка на API, която изтече URL адреса за съхранение в облака на данните на жертвата. "
Шокиращата уязвимост вече е затворена и не е известно дали недостатъкът е бил експлоатиран в дивата природа, извън откритието на Пракаш.
Разработчикът на приложения все още не е коментирал откритието, но Доверени отзиви се свърза с компанията, търсейки повече подробности. Приложението е актуализирано последно в неделя с TechCrunch посочвайки изданието „закърпи доклад за сигурността“, така че изглежда, че именно това се е погрижило за уязвимостта.
Потребител на Call Recorder ли сте? Ще спрете ли използването на приложението след този отчет? Уведомете ни @trustedreviews в Twitter.