En lo que respecta a las pesadillas de privacidad, esto es realmente malo: una falla de seguridad evidente en la popular aplicación de grabación de llamadas de iPhone podría haber permitido que cualquiera escuchara las grabaciones del usuario si supiera el número de teléfono del objetivo.
grabador de llamadas Afirma tener más de 1 millón de descargas globales. Esto hace que sea aún más alarmante que Anand Prakash, investigador de seguridad y fundador de Pingsafe AI, descubriera fácilmente las vulnerabilidades en la aplicación. Prakash recientemente compartió sus resultados. Con TechCrunch.
Las aplicaciones como Call Recorder son una forma muy popular de realizar un seguimiento de las reuniones y llamadas relacionadas con la empresa, aunque existen Planteó importantes problemas de privacidad y seguridad. Por la forma en que almacenan estos datos sensibles en la nube. Generalmente, almacene los datos de la aplicación a través de servicios en la nube Puede ser una sugerencia muy dudosa. Si este almacenamiento no contiene la protección adecuada.
En este caso particular, se puede acceder fácilmente al contenedor en la nube de Call Recorder, y por lo tanto a las miles de conversaciones telefónicas almacenadas, aprovechando un gran agujero de seguridad.
Después de crear una cuenta con la aplicación, Prakash descubre que puede acceder y manipular el tráfico web que entra y sale de la aplicación mediante un programa de prueba de penetración común. A partir de ahí, descubra que si reemplaza el número de teléfono que registró en Call Recorder con un número diferente, la aplicación entregará los datos de ese usuario a su teléfono, incluidas las llamadas telefónicas almacenadas y los metadatos asociados.
«La vulnerabilidad permitió que cualquier actor malintencionado escuchara la grabación de llamadas de cualquier usuario desde el contenedor de almacenamiento en la nube de la aplicación y el punto final de la API no autorizada que filtró la URL del almacenamiento en la nube de los datos de la víctima». Prakash escribe.
Después de que Prakash se puso en contacto con el desarrollador de la aplicación, el sábado se volvió a lanzar una nueva versión segura de Call Recorder. TechCrunch informó que en el momento de la corrección, había alrededor de 300 GB de datos, o «más de 130.000 registros de audio», almacenados en el contenedor en la nube de Call Recorder.
Nos comunicamos con el desarrollador de la aplicación para obtener un comentario y actualizaremos esta publicación cuando recibamos una respuesta.
«Estudiante amistoso. Jugador certificado. Evangelista de las redes sociales. Fanático de Internet. Se cae mucho. Futuro ídolo adolescente».