Suosittujen iPhone-sovellusten tietoturva-aukko paljastaa tuhansia puhelutallenteita

Suosittujen iPhone-sovellusten tietoturva-aukko paljastaa tuhansia puhelutallenteita

Suosittu iPhone-puhelun tallennusohjelma paljasti tuhansien käyttäjien tietojen tallennukset, tietoturvatutkija on löytänyt.

Call Recorder -sovelluksessa on tietoturva-aukko, jonka ansiosta kolmannet osapuolet pääsivät käyttämään käyttäjän koko tallennuskirjastoa vain tietämällä heidän puhelinnumeronsa. Apple ei tarjoa puhelutallennusta osaketoimintona iPhonessa, joten ne, jotka haluavat tehdä niin helposti

PingSafe AI: n tunnettu tietoturvatutkija Anand Prakash pystyi haistamaan virheen välityspalvelimen avulla korvaamaan puhelinnumeronsa toisen käyttäjän numerolla. Tämä antoi hänelle mahdollisuuden kuunnella äänitteitä halunsa mukaan.

Sovellusten valmistajat väittävät ylpeänä, että sovellus on ladattu yli miljoona kertaa, ja sanoo, että se oli 20 parhaan yrityssovelluksen 20 maassa.

“Hyökkääjä voi välittää toisen käyttäjän numeron tallennuspyynnössä, ja sovellusliittymä vastaa tallennusryhmän tallennusosoitteeseen ilman todentamista”, tutkija kirjoitti. “Se vuotaa myös uhrin koko puheluhistorian ja numerot, joihin soitettiin.”

Hän lisäsi: “Haavoittuvuus antoi kenellekään toimijalle mahdollisuuden kuunnella käyttäjän soittotallennuksia sovelluksen pilvitallennussäiliöstä ja tunnistamattomasta sovellusliittymän päätepisteestä, joka vuotaa uhrin tietojen pilvitallennuksen URL-osoitteen.”

Järkyttävä haavoittuvuus on nyt suljettu, eikä tiedetä, hyödynnettiinkö puutetta luonnossa Prakashin löydön ulkopuolella.

Sovelluskehittäjä ei ole vielä kommentoinut löytöä, mutta Luotetut arvostelut on ottanut yhteyttä yritykseen etsimään lisätietoja. Sovellus päivitettiin viimeksi sunnuntaina, ja TechCrunch huomautti julkaisusta “korjaa tietoturvaraportti”, joten näyttää siltä, ​​että tämä on hoitanut haavoittuvuuden.

Oletko puhelintallentimen käyttäjä? Pysäytätkö sovelluksen käytön tämän raportin jälkeen? Kerro meille @trustedreviews Twitterissä.

Leave a Reply

Your email address will not be published. Required fields are marked *