| 9 марта 2021 г. — 9:34 по тихоокеанскому времени
Исследователь безопасности и основатель PingSafe AI, Ананд Пракаш, обнаружил уязвимость в популярном приложении для iPhone «Automatic Call Recorder». Эта ошибка позволяла любому получить доступ к записям звонков других пользователей, зная их номер телефона.
Как сообщает TechCrunch, эта уязвимость безопасности раскрыла тысячи записанных разговоров пользователей. С помощью прокси-инструмента, такого как Burp Suite, Пракаш мог просматривать и изменять сетевой трафик, входящий и исходящий из приложения.
Это означало, что он мог заменить свой номер телефона, зарегистрированный в приложении, на номер телефона другого пользователя приложения и получить доступ к его записи на своем телефоне.
TechCrunch сообщил, что смог проверить находку Пракаша и дождался, пока разработчик исправит ошибку, прежде чем публиковать свою историю.
Приложение хранит записи звонков своих пользователей в облачном хранилище, размещенном на Amazon Web Services. Хотя доступ к публичной части был открыт и отображал файлы внутри, сами файлы не могли быть доступны или загружены. Хранилище было закрыто к моменту публикации.
6 марта разработчик приложения «Automatic Call Recorder» выпустил обновление безопасности, но до его исправления более 130 000 аудиозаписей были доступны любому желающему, поясняется в отчете. Приложение имеет более 1 миллиона загрузок в App Store, согласно его странице. Разработчик заявляет, что это приложение «может быть самым простым в использовании диктофоном звонков, который вы можете найти в App Store».
Разработчик не ответил на несколько запросов о комментарии от команды TechCrunch, но, повторимся, на данный момент ошибка исправлена.