Suosittujen iPhone-sovellusten tietoturva-aukko paljastaa tuhansia puhelutallenteita
Suosittu iPhone puhelutallennussovellus paljasti tuhansien käyttäjien tietojen tallennukset, tietoturvatutkija on löytänyt.
Puhelutallennin sovellus sisältää tietoturvaheikkouden, jonka avulla kolmannet osapuolet pääsivät käyttäjän koko tallenteiden kirjastoon vain tietämällä heidän puhelinnumeronsa. Apple ei tarjoa puhelutallennusta osaketoimintona iPhonessa, joten ne, jotka haluavat tehdä niin helposti
Tunnettu tietoturvatutkija Anand Prakash PingSafe AI pystyi haistamaan virheen välityspalvelimen avulla korvaamaan puhelinnumeronsa toisen käyttäjän numerolla. Tämä antoi hänelle mahdollisuuden kuunnella äänitteitä halunsa mukaan.
Sovellusten valmistajat väittävät ylpeänä, että sovellus on ladattu yli miljoona kertaa, ja sanoo, että se oli 20 parhaan yrityssovelluksen 20 maassa.
"Hyökkääjä voi välittää toisen käyttäjän numeron tallennuspyynnössä, ja sovellusliittymä vastaa tallennusryhmän tallennusosoitteeseen ilman todentamista", tutkija kirjoitti. "Se vuotaa myös uhrin koko puheluhistorian ja numerot, joille soitettiin."
Hän lisäsi: "Haavoittuvuus antoi kenellekään taholle mahdollisuuden kuunnella minkä tahansa käyttäjän puhelutallennusta pilvitallennustilasta sovelluksen ämpäri ja tunnistamaton sovellusliittymän päätepiste, joka vuotaa uhrin tietojen pilvitallennuksen URL-osoitteen. "
Järkyttävä haavoittuvuus on nyt suljettu, eikä tiedetä, hyödynnettiinkö puutetta luonnossa Prakashin löytämisen lisäksi.
Sovelluskehittäjä ei ole vielä kommentoinut löytöä, mutta Luotetut arvostelut on ottanut yhteyttä yritykseen etsimään lisätietoja. Sovellus päivitettiin viimeksi sunnuntaina TechCrunch huomauttamalla julkaisusta "korjaa tietoturvaraportti", joten näyttää siltä, että tämä on hoitanut haavoittuvuuden.
Oletko puhelintallentimen käyttäjä? Pysäytätkö sovelluksen käytön tämän raportin jälkeen? Kerro meille @trustedreviews Twitterissä.