Bezpečnostní chyba v populární aplikaci pro iPhone odhaluje tisíce hovorů
Populární iPhone výzkumník zabezpečení zjistil, že aplikace pro nahrávání hovorů odhalila nahrávky dat tisíců uživatelů.
The Záznamník hovorů aplikace obsahuje chybu zabezpečení, která třetím stranám umožnila přístup k celé knihovně nahrávek uživatele, a to pouhým poznáním jejich telefonního čísla. Apple nenabízí nahrávání hovorů jako standardní akci na iPhonu, takže ti, kteří to chtějí udělat snadno
Známý výzkumník bezpečnosti Anand Prakash z PingSafe AI dokázal vyčarovat chybu pomocí proxy, aby nahradil své telefonní číslo číslem jiného uživatele. To mu umožnilo poslouchat nahrávky podle libosti.
Tvůrci aplikací hrdě tvrdí, že aplikace byla stažena více než milionkrát, a říká, že se jednalo o 20 nejlepších obchodních aplikací ve 20 zemích.
„Útočník může v požadavku na nahrávky předat číslo jiného uživatele a rozhraní API bude reagovat na adresu URL úložiště kbelíku bez jakéhokoli ověření,“ napsal výzkumník. "Také uniká celá historie hovorů obětí a čísla, na kterých byla volání provedena."
Dodal: „Zranitelnost umožnila každému škodlivému herci poslouchat záznam hovorů jakéhokoli uživatele z cloudového úložiště kbelík aplikace a neověřený koncový bod API, z něhož unikla adresa cloudového úložiště dat oběti. “
Šokující zranitelnost byla nyní uzavřena a není známo, zda byla chyba zneužita ve volné přírodě, mimo Prakashův objev.
Vývojář aplikace tento objev ještě nekomentoval, ale Důvěryhodné recenze kontaktoval společnost a hledal další podrobnosti. Aplikace byla naposledy aktualizována v neděli s TechCrunch poukazuje na vydání „opravte zprávu o zabezpečení“, takže se zdá, že právě toto se o tuto zranitelnost postaralo.
Jste uživatelem záznamu hovorů? Zastavíte po této zprávě používání aplikace? Dejte nám vědět @trustedreviews na Twitteru.