Vulnerabilitat de seguretat a l'aplicació 'Call Recorder' exposada a les converses dels usuaris

Una fallada de seguretat en una aplicació anomenada 'Call Recorder' va exposar milers de converses de clients, informes TechCrunch . La vulnerabilitat la va trobar l'investigador de PingSafe AI, Anand Prakesh, i des de llavors s'ha corregit.

El Aplicació de gravació de trucades està dissenyat per permetre iPhone usuaris per gravar les seves trucades telefòniques entrants i sortints, amb aquestes gravacions emmagatzemades al núvol a Amazon Web Services.

Mitjançant una eina de proxy com Burp Suite, Prakash va poder veure i modificar el trànsit de xarxa que entrava i sortia de l'aplicació, i quan va substituir el seu número de telèfon pel número de telèfon d'un altre usuari de Call Recorder, les seves gravacions van quedar disponibles al seu telèfon.

Hi havia més de 130.000 enregistraments d'àudio disponibles, tot i que no es va poder accedir als fitxers ni baixar-los fora de l'aplicació. TechCrunch va informar el desenvolupador sobre la falla de seguretat i es va solucionar en una actualització dissabte.

Un informe recent de la firma de seguretat mòbil Zimperium va suggerir que milers d'aplicacions d'iOS que utilitzen serveis al núvol públic com Amazon Web Services, Google Cloud i Microsoft Azure tenen configuracions inadequades que arrisquen a exposar les dades dels usuaris.

Es va trobar que 6.608 aplicacions d'iOS exposen informació personal, contrasenyes i informació mèdica dels usuaris. El director general de Zimperium, Shridhar Mittal, va dir que les configuracions incorrectes d'emmagatzematge al núvol són una 'tendència inquietant'.

'Moltes d'aquestes aplicacions tenen emmagatzematge al núvol que el desenvolupador o qui ho ha configurat no ha configurat correctament i, per això, les dades són visibles per gairebé qualsevol persona. I la majoria de nosaltres tenim algunes d'aquestes aplicacions ara mateix', va dir.

L'informe no s'anomena cap aplicació a causa de les vulnerabilitats implicades, però algunes eren aplicacions importants, com ara una cartera mòbil d'una empresa Fortune 500 i una aplicació de transport d'una gran ciutat.