Luka w zabezpieczeniach w popularnej aplikacji na iPhone'a ujawnia tysiące nagrań rozmów
Popularny iPhone Jak odkrył badacz bezpieczeństwa, aplikacja do nagrywania rozmów ujawniła nagrania tysięcy danych użytkowników.
Plik Automatyczna sekretarka app zawiera lukę w zabezpieczeniach, która umożliwiła innym firmom dostęp do całej biblioteki nagrań użytkownika, po prostu znając jego numer telefonu. Apple nie oferuje funkcji nagrywania rozmów jako standardowej funkcji na iPhonie, więc ci, którzy chcą to łatwo zrobić
Znany badacz bezpieczeństwa Anand Prakash z PingSafe AI był w stanie wykryć usterkę za pomocą proxy, aby zastąpić swój numer telefonu numerem innego użytkownika. Umożliwiło mu to dowolne słuchanie nagrań.
Twórcy aplikacji z dumą twierdzą, że aplikacja została pobrana ponad milion razy i twierdzi, że była to 20 najpopularniejszych aplikacji biznesowych w 20 krajach.
„Atakujący może przekazać numer innego użytkownika w żądaniu nagrania, a interfejs API odpowie, podając adres URL nagrania zasobnika pamięci bez żadnego uwierzytelnienia” - napisał badacz. „Ujawnia również całą historię połączeń ofiary i numery, na które były wykonywane połączenia”.
Dodał: „Luka umożliwiła każdemu złośliwemu aktorowi odsłuchanie nagrania rozmów dowolnego użytkownika z pamięci masowej w chmurze segment aplikacji i nieuwierzytelniony punkt końcowy interfejsu API, z którego wyciekł adres URL przechowywania danych ofiary w chmurze ”.
Szokująca luka została teraz zamknięta i nie wiadomo, czy wada została wykorzystana na wolności, poza odkryciem przez Prakasha.
Twórca aplikacji nie skomentował jeszcze odkrycia, ale Zaufane recenzje skontaktował się z firmą w celu uzyskania dodatkowych informacji. Aplikacja była ostatnio aktualizowana w niedzielę TechCrunch wskazując wydanie „załataj raport bezpieczeństwa”, więc wygląda na to, że to właśnie załatwiło lukę.
Czy jesteś użytkownikiem Call Recorder? Czy po tym raporcie wstrzymasz korzystanie z aplikacji? Daj nam znać @trustedreviews na Twitterze.