Исследователь безопасности и основателеть компании PingSafe AI, Ананд Пракеш (Anand Prakesh), обнаружил уязвимость в приложении Call Recorder для iPhone. Зная телефон любого пользователя приложения, можно было прослушать все записи телефонных разговоров.
Приложение Call Recorder предназначено для того, чтобы пользователи iPhone могли записывать свои входящие и исходящие телефонные звонки, а вот записи этих разговоров хранилис в облаке Amazon.
С помощью прокси-инструмента Burp Suite, Пракаш смог просмотреть и изменить сетевой трафик, входящий и исходящий из приложения, и при замене его телефонного номера на телефонный номер другого пользователя, Call Recorder открывался доступ к записям последнего.
Журналисты издания TechCrunch проверили схему на уязвимость и сообщили о ней разработчку. В субботу приложение получило обновление с исправлением ошибки. На тот момент в облаке хранилось более 130 тысяч записей телефонных разговоров объёмом в более чем 300 ГБ.
Недавний отчет компании Zimperium, занимающейся безопасностью мобильных устройств, показал, что тысячи iOS-приложений, использующих общедоступные «облачные» службы, такие как Amazon Web Services, Google Cloud и Microsoft Azure, имеют неправильные настройки, которые могут подвергнуть риску пользовательские данные.
Было установлено, что 6608 iOS-приложений содержат личную информацию пользователей, пароли и медицинскую информацию. Генеральный директор компании Zimperium Шридхар Миттал (Shridhar Mittal) заявил, что неправильная настройка облачных хранилищ стала «тревожной тенденцией».
А вы пользуетесь приложением для записи телефонных разговоров? Расскажите каким.