Bug do gravador de chamadas do iPhone dava acesso às conversas de outras pessoas

Bug no aplicativo iOS Call Recorder permitiu que outras pessoas ouvissem suas chamadas. Uma atualização corrigiu o problema.

bug-do-gravador-de-chamadas-do-iphone-dava-acesso-as-conversas-de-outras-pessoas
Imagem: Techlifeghana

Um bug de segurança em um aplicativo popular gravador de chamadas do iPhone, o Call Recorder expôs milhares de conversas gravadas de usuários, ou seja, foi possível ouvir conversas de terceiros.

bug-do-gravador-de-chamadas-do-iphone-dava-acesso-as-conversas-de-outras-pessoas
Imagem: App Store

O bug foi descoberto por Anand Prakash, um pesquisador de segurança e fundador da PingSafe AI, que descobriu que o aplicativo Call Recorder permitia que qualquer pessoa acessasse as gravações de chamadas de outros usuários. No entanto, a pessoa precisava saber o número de telefone da pessoa.

Mas, usando uma ferramenta de proxy prontamente disponível como o Burp Suite, Prakash pode visualizar e modificar o tráfego de rede que entra e sai do aplicativo. Isso significava que ele poderia substituir seu número de telefone registrado com o aplicativo pelo número de telefone de outro usuário do aplicativo e acessar suas gravações em seu telefone. O bug expôs conversas de chamadas dos usuários do aplicativo, colocando em risco a privacidade dos mesmos.

O site TechCrunch verificou as descobertas de Prakash usando um telefone reserva com uma conta dedicada. O aplicativo armazena as gravações de chamadas do usuário em um depósito de armazenamento em nuvem hospedado no Amazon Web Services.

Embora o servidor de armazenamento em nuvem tenha sido aberto e listado os arquivos, estes não puderam ser acessados ??ou baixados. No momento do teste, o aplicativo já contava com aproximadamente 130.000 gravações de áudio, totalizando cerca de 300 gigabytes. O aplicativo afirma ter mais de 1 milhão de downloads até o momento.

O TechCrunch entrou em contato com o desenvolvedor do aplicativo e aguardou até que a falha fosse corrigida. Uma nova versão do aplicativo foi enviada à loja de aplicativos da Apple no sábado. As notas de lançamento disseram que a atualização do aplicativo era para “corrigir um relatório de segurança”.

Apesar de uma breve resposta ao e-mail inicial do TechCrunch, reconhecendo o problema de segurança, o desenvolvedor do aplicativo Arun Nair não retornou vários pedidos de comentário.

Com informações de: TechCrunch