Descoberta falha em aplicativo do iPhone que expõe chamadas telefônicas gravadas
Uma vulnerabilidade em um aplicativo de gravação de chamadas para iOS foi encontrada para dar acesso a chamadas telefônicas gravadas, sabendo o número de telefone de um usuário.
Detalhada hoje por Anand Prakash, da PingSafe AI, a vulnerabilidade foi descoberta em um aplicativo conhecido como “Automatic Call Recorder” que havia sido baixado mais de um milhão de vezes na Apple App Store. Como o nome sugere, o aplicativo registra chamadas telefônicas recebidas e de saída automaticamente.
A vulnerabilidade relacionada a comunicações inseguras entrando e saindo do aplicativo. Usando uma ferramenta proxy como o Burp Suite, o Prakash poderia visualizar e modificar o tráfego de rede, permitindo que ele passasse o número de outro usuário na solicitação de gravação. A interface de programação do aplicativo responderia então com a URL do balde de armazenamento Amazon Web Services Inc. S3 onde a gravação estava sendo armazenada.
A empresa por trás do Automatic Call Recorder foi informada da vulnerabilidade e uma nova versão do aplicativo entrou no ar na App Store em 6 de março. Todos os usuários que não tiverem seus aplicativos atualizados automaticamente são aconselhados a instalar a atualização o mais rápido possível.
“Questões de segurança como esta são catastróficas por natureza”, disse Prakash. “Além de impactar a privacidade do cliente, isso também diminui a imagem da empresa e proporciona mais vantagem aos concorrentes.”
Anurag Kahol, diretor de tecnologia da corretora de segurança de acesso à nuvem Bitglass Inc.disse ao SiliconANGLE que qualquer pessoa poderia ter acessado facilmente as milhares de gravações de chamadas durante o período de exposição simplesmente sabendo o número de telefone de um usuário.
“Isso não foi apenas uma violação da privacidade de dados, mas também colocou os usuários afetados em risco físico e cibernético se suas conversas gravadas contivessem detalhes pessoais e sensíveis”, disse ele. “Os fabricantes de aplicativos que não investirem em sua própria prontidão para segurança cibernética devem reconhecer que as multas que podem enfrentar por não conformidade com as leis de privacidade de dados são incrivelmente caras – sem mencionar o custo de perder a confiança de seus clientes.”
Fonte: SiliconAngle