Säkerhetsfel i populär iPhone-app avslöjar samtalsinspelningar på tusentals

En populär iPhone app för samtalsinspelning exponerade inspelningarna av tusentals användardata, har en säkerhetsforskare funnit.

De Samtalsinspelare appen innehåller en säkerhetsproblem som gjorde det möjligt för tredje parter att komma åt en användares hela inspelningsbibliotek, bara genom att känna till deras telefonnummer. Apple erbjuder inte samtalsinspelning som en lagerfunktion på iPhone, så de som vill göra det enkelt

Noterade säkerhetsforskare Anand Prakash från PingSafe AI kunde sniffa ut felet med hjälp av en proxy för att ersätta hans telefonnummer med numret på en annan användare. Detta gjorde det möjligt för honom att lyssna på inspelningar efter behag.

Apptillverkarna hävdar stolt att appen har laddats ner över 1 miljon gånger och säger att det var en topp 20-affärsapp i 20 länder.

"En angripare kan skicka en annan användares nummer i inspelningsförfrågan och API: et svarar med inspelnings-url för lagringsutrymmet utan någon autentisering", skrev forskaren. "Det läcker också offrets hela samtalshistorik och numren på vilka samtal ringdes."

Han tillade: ”Sårbarheten gjorde det möjligt för alla skadliga aktörer att lyssna på alla användares samtalsinspelning från molnlagringen en hink med applikationen och en obehörig API-slutpunkt som läckte molnlagrings-URL: en för offrets data. ”

Den chockerande sårbarheten har nu stängts av, och det är inte känt om bristen utnyttjades i naturen, bortom Prakashs upptäckt.

Apputvecklaren har ännu inte kommenterat upptäckten, men Betrodda recensioner har kontaktat företaget för att få mer information. Appen uppdaterades senast på söndag med TechCrunch påpekar utgåvan "lappa en säkerhetsrapport", så det verkar som om det var det som tog hand om sårbarheten.

Är du en Call Recorder-användare? Kommer du att stoppa din användning av appen efter denna rapport? Låt oss veta @trustedreviews på Twitter.