Ένα σφάλμα ασφαλείας που εντοπίστηκε σε μια δημοφιλή εφαρμογή καταγραφής κλήσεων iPhone, εκθέτει χιλιάδες καταγεγραμμένες συνομιλίες χρηστών. Το ελάττωμα ανακαλύφθηκε από τον Anand Prakash, έναν ερευνητή ασφαλείας και ιδρυτή της PingSafe AI, ο οποίος διαπίστωσε ότι η εφαρμογή Call Recorder επιτρέπει σε οποιονδήποτε να έχει πρόσβαση στις καταγραφές κλήσεων άλλων χρηστών. Το μόνο που χρειάζεται κάποιος για να το καταφέρει αυτό, είναι να γνωρίζει τον αριθμό τηλεφώνου ενός χρήστη.
Επιπλέον, χρησιμοποιώντας ένα εύκολα διαθέσιμο proxy tool όπως το Burp Suite, ο Prakash θα μπορούσε να δει και να τροποποιήσει την κίνηση του δικτύου που εισέρχεται και εξέρχεται από την εφαρμογή. Αυτό σημαίνει ότι θα μπορούσε να αντικαταστήσει τον αριθμό τηλεφώνου του που είναι εγγεγραμμένος στην εφαρμογή, με τον αριθμό τηλεφώνου ενός άλλου χρήστη της εφαρμογής και να έχει πρόσβαση στις καταγραφές που έχει κάνει στο τηλέφωνό του.
Το TechCrunch επαλήθευσε τα ευρήματα του Prakash χρησιμοποιώντας ένα εφεδρικό τηλέφωνο με ειδικό λογαριασμό.
Η εφαρμογή αποθηκεύει τις καταγραφές κλήσεων ενός χρήστη σε ένα cloud storage bucket που φιλοξενείται στην Amazon Web Services. Αν και ο cloud storage server ήταν ανοιχτός και απαριθμούσε τα αρχεία μέσα, δεν ήταν δυνατή η πρόσβαση στα αρχεία αλλά ούτε και η λήψη τους.
James Webb: Ανακάλυψε μία από τις αρχαιότερες σουπερνόβα
GDPR: Πώς TikTok, Shein & Temu παίζουν με το απόρρητο μας;
Σεληνιακή Απόκρυψη: Το φεγγάρι κρύβει τον Κρόνο
Επί του παρόντος, το cloud storage bucket έχει περισσότερες από 130.000 ηχογραφήσεις, που ανέρχονται περίπου στα 300 gigabyte. Παράλληλα, η εφαρμογή iPhone αναφέρει ότι έχει μέχρι στιγμής περισσότερες από 1 εκατομμύριο λήψεις.
Όπως αναφέρει το TechCrunch, επικοινώνησε με τον προγραμματιστή της εφαρμογής και κράτησε στην αφάνεια το εν λόγω ζήτημα ασφαλείας, μέχρι να διορθωθεί το ελάττωμα. Μια νέα έκδοση της εφαρμογής υποβλήθηκε στο App Store της Apple στις 6 Μαρτίου. Σύμφωνα με αναφορές που κυκλοφόρησαν, η ενημέρωση της εφαρμογής είχε ως στόχο να “διορθώσει ένα ζήτημα ασφαλείας”.
Παρά την σύντομη απάντηση στο αρχικό email του TechCrunch που αναγνωρίζει το σφάλμα ασφαλείας, ο προγραμματιστής της εφαρμογής, Arun Nair, δεν δέχτηκε να παραθέσει κάποιο σχόλιο επί του θέματος.