Bezpečnostná chyba v populárnej aplikácii pre iPhone odhaľuje tisíce nahrávok hovorov
Populárna iPhone výskumník bezpečnosti zistil, že aplikácia na nahrávanie hovorov odhalila nahrávky dát tisícov používateľov.
The Nahrávač hovorov Aplikácia obsahuje chybu zabezpečenia, ktorá tretím stranám umožnila prístup k celej knižnici nahrávok používateľa, a to iba vďaka znalosti ich telefónneho čísla. Spoločnosť Apple neponúka nahrávanie hovorov ako funkciu skladu na iPhone, takže tí, ktorí to chcú urobiť ľahko
Známy bezpečnostný výskumník Anand Prakash z AI PingSafe dokázal chybu vyňuchať pomocou servera proxy, ktorý nahradil jeho telefónne číslo číslom iného používateľa. To mu umožnilo počúvať nahrávky podľa ľubovôle.
Tvorcovia aplikácií s hrdosťou tvrdia, že aplikácia bola stiahnutá viac ako miliónkrát, a hovorí, že išlo o 20 najlepších obchodných aplikácií v 20 krajinách.
„Útočník môže v požiadavke na nahrávky odovzdať číslo iného používateľa a API odpovie zaznamenaním adresy URL úložiska bez akejkoľvek autentifikácie,“ napísal výskumník. "Taktiež uniká celá história hovorov obetí a čísla, na ktorých sa uskutočnili hovory."
Dodal: „Zraniteľnosť umožnila každému škodlivému hercovi počúvať nahrávku hovorov ľubovoľného používateľa z cloudového úložiska segment aplikácie a neoverený koncový bod API, z ktorého unikla adresa URL cloudového úložiska údajov obete. “
Šokujúca zraniteľnosť bola teraz uzavretá a nie je známe, či bola chyba zneužitá vo voľnej prírode, okrem Prakashovho objavu.
Vývojár aplikácie tento objav zatiaľ nekomentoval, ale Dôveryhodné recenzie kontaktoval spoločnosť a vyžiadal si ďalšie podrobnosti. Aplikácia bola naposledy aktualizovaná v nedeľu o TechCrunch poukazujúc na vydanie „opravte správu o zabezpečení“, takže sa zdá, že práve toto sa postaralo o zraniteľnosť.
Ste používateľom záznamu hovorov? Zastavíte po použití tohto prehľadu svoje používanie aplikácie? Dajte nám vedieť @trustedreviews na Twitteri.