Beveiligingsfout in populaire iPhone-app legt oproepopnames van duizenden bloot
Een populair iPhone oproepopname-app heeft de opnames van duizenden gebruikersgegevens blootgelegd, heeft een beveiligingsonderzoeker gevonden.
De Bel Recorder app bevat een beveiligingsprobleem waardoor derden toegang hebben tot de volledige bibliotheek met opnamen van een gebruiker door alleen hun telefoonnummer te kennen. Apple biedt geen gespreksopname als een voorraadfunctie op de iPhone, dus degenen die dit gemakkelijk willen doen
Bekende beveiligingsonderzoeker Anand Prakash van PingSafe AI was in staat om de fout op te sporen met behulp van een proxy om zijn telefoonnummer te vervangen door het nummer van een andere gebruiker. Hierdoor kon hij naar believen naar opnames luisteren.
De app-makers beweren trots dat de app meer dan 1 miljoen keer is gedownload en zegt dat het een top 20 zakelijke app was in 20 landen.
"Een aanvaller kan het nummer van een andere gebruiker doorgeven in het opnameverzoek en de API reageert met de opname-URL van de opslagbucket zonder enige authenticatie", schreef de onderzoeker. "Het lekt ook de volledige belgeschiedenis van het slachtoffer en de nummers waarop werd gebeld."
Hij voegde eraan toe: "Door de kwetsbaarheid kon elke kwaadwillende actor luisteren naar de oproepopname van een gebruiker vanuit de cloudopslag bucket van de applicatie en een niet-geverifieerd API-eindpunt dat de cloudopslag-URL van de gegevens van het slachtoffer heeft gelekt. "
De schokkende kwetsbaarheid is nu gedicht en het is niet bekend of de fout in het wild is uitgebuit, buiten Prakash's ontdekking.
De app-ontwikkelaar heeft nog niet gereageerd op de ontdekking, maar Vertrouwde beoordelingen heeft contact opgenomen met het bedrijf voor meer informatie. De app is voor het laatst bijgewerkt op zondag met TechCrunch wijzend op de release "patch een beveiligingsrapport", dus het lijkt erop dat dit de kwetsbaarheid heeft opgelost.
Bent u een Call Recorder-gebruiker? Gaat u na dit rapport stoppen met het gebruik van de app? Laat het ons weten @trustedreviews op Twitter.