Kahinaan sa Seguridad sa 'Call Recorder' App na Nakalantad na Mga Pag-uusap ng User

Isang kakulangan sa seguridad sa isang app na tinatawag na 'Call Recorder' ang naglantad sa libu-libong pag-uusap ng customer, mga ulat TechCrunch . Ang kahinaan ay natagpuan ng PingSafe AI researcher na si Anand Prakesh, at mula noon ay na-patched na.

Ang Call Recorder app ay dinisenyo upang payagan iPhone mga user na i-record ang kanilang mga papasok at papalabas na tawag sa telepono, kasama ang mga recording na iyon na naka-imbak sa cloud sa Amazon Web Services.

Gamit ang isang proxy tool tulad ng Burp Suite, nagawang tingnan at baguhin ni Prakash ang trapiko sa network na papasok at palabas ng app, at kapag pinalitan ang kanyang numero ng telepono ng numero ng telepono ng isa pang user ng Call Recorder, naging available ang kanilang mga recording sa kanyang telepono.

Mayroong higit sa 130,000 audio recording na magagamit, kahit na ang mga file ay hindi ma-access o ma-download sa labas ng app. TechCrunch Ipinaalam sa developer ang tungkol sa kakulangan sa seguridad at naayos ito sa isang update noong Sabado.

Ang isang kamakailang ulat mula sa mobile security firm na Zimperium ay nagmungkahi na ang libu-libong iOS app na gumagamit ng mga pampublikong serbisyo sa cloud tulad ng Amazon Web Services, Google Cloud, at Microsoft Azure magkaroon ng mga hindi tamang setup na panganib na ilantad ang data ng user.

6,608 iOS app ang nakitang naglalantad ng personal na impormasyon, password, at medikal na impormasyon ng mga user. Sinabi ng CEO ng Zimperium na si Shridhar Mittal na ang mga maling pagsasaayos ng cloud storage ay isang 'nakababagabag na kalakaran.'

'Marami sa mga app na ito ang may cloud storage na hindi na-configure nang maayos ng developer o ng sinumang nag-set up ng mga bagay at, dahil doon, ang data ay nakikita ng halos kahit sino. At karamihan sa atin ay may ilan sa mga app na ito ngayon,' sabi niya.

Walang mga app na pinangalanan sa ulat dahil sa mga kahinaang sangkot, ngunit ang ilan ay mga pangunahing app kabilang ang isang mobile wallet mula sa isang Fortune 500 na kumpanya at isang app sa transportasyon mula sa isang malaking lungsod.