Το ελάττωμα ασφαλείας στη δημοφιλή εφαρμογή iPhone εκθέτει εγγραφές κλήσεων χιλιάδων
Ένα δημοφιλές iPhone Η εφαρμογή καταγραφής κλήσεων αποκάλυψε τις ηχογραφήσεις χιλιάδων δεδομένων χρηστών, βρήκε ένας ερευνητής ασφαλείας.
ο Εγγραφή κλήσεων Η εφαρμογή περιέχει ένα θέμα ευπάθειας ασφαλείας που επέτρεψε σε τρίτα μέρη να έχουν πρόσβαση σε ολόκληρη τη βιβλιοθήκη εγγραφών ενός χρήστη, γνωρίζοντας μόνο τον αριθμό τηλεφώνου τους. Η Apple δεν προσφέρει εγγραφή κλήσεων ως χαρακτηριστικό αποθέματος στο iPhone, επομένως όσοι επιθυμούν να το κάνουν εύκολα
Ο γνωστός ερευνητής ασφάλειας Anand Prakash του PingSafe AI μπόρεσε να μυρίσει το ελάττωμα χρησιμοποιώντας έναν πληρεξούσιο για να αντικαταστήσει τον αριθμό τηλεφώνου του με τον αριθμό ενός άλλου χρήστη. Αυτό του επέτρεψε να ακούσει ηχογραφήσεις κατά βούληση.
Οι κατασκευαστές εφαρμογών ισχυρίζονται ότι η εφαρμογή έχει ληφθεί πάνω από 1 εκατομμύριο φορές και αναφέρει ότι ήταν μια κορυφαία 20 επιχειρηματική εφαρμογή σε 20 χώρες.
«Ένας εισβολέας μπορεί να μεταβιβάσει τον αριθμό άλλου χρήστη στο αίτημα εγγραφών και το API θα ανταποκριθεί με τη διεύθυνση URL εγγραφής του κάδου αποθήκευσης χωρίς έλεγχο ταυτότητας», έγραψε ο ερευνητής. "Διαρρέει επίσης ολόκληρο το ιστορικό κλήσεων του θύματος και τους αριθμούς στους οποίους πραγματοποιήθηκαν κλήσεις."
Πρόσθεσε: «Η ευπάθεια επέτρεψε σε οποιονδήποτε κακόβουλο ηθοποιό να ακούσει την εγγραφή κλήσεων οποιουδήποτε χρήστη από το cloud storage κάδος της εφαρμογής και ένα μη εξουσιοδοτημένο τελικό σημείο API που διέρρευσε τη διεύθυνση URL αποθήκευσης cloud των δεδομένων του θύματος. "
Η συγκλονιστική ευπάθεια έχει πλέον κλείσει και δεν είναι γνωστό εάν το ελάττωμα εκμεταλλεύτηκε στην άγρια φύση, πέρα από την ανακάλυψη του Prakash.
Ο προγραμματιστής εφαρμογών δεν έχει σχολιάσει ακόμη την ανακάλυψη, αλλά Αξιόπιστες κριτικές έχει επικοινωνήσει με την εταιρεία ζητώντας περισσότερες λεπτομέρειες. Η εφαρμογή ενημερώθηκε τελευταία φορά την Κυριακή, με TechCrunch επισημαίνοντας την έκδοση «ενημέρωση κώδικα ασφαλείας», οπότε φαίνεται ότι αυτό ήταν που φρόντισε για την ευπάθεια.
Είστε χρήστης εγγραφής κλήσεων; Θα σταματήσετε τη χρήση της εφαρμογής μετά από αυτήν την αναφορά; Ενημερώστε μας @trustedreviews στο Twitter.