Populaire iPhone L’application d’enregistrement d’appels a exposé les enregistrements de milliers de données d’utilisateurs, a découvert un chercheur en sécurité.
Le Enregistreur d’appel contient une vulnérabilité de sécurité qui a permis à des tiers d’accéder à l’ensemble de la bibliothèque d’enregistrements d’un utilisateur, simplement en connaissant leur numéro de téléphone. Apple n’offre pas l’enregistrement des appels en tant que fonction de stock sur l’iPhone, donc ceux qui souhaitent le faire facilement
Chercheur renommé en sécurité Anand Prakash de PingSafe AI a pu détecter la faille en utilisant un proxy pour remplacer son numéro de téléphone par le numéro d’un autre utilisateur. Cela lui a permis d’écouter des enregistrements à volonté.
Les créateurs d’applications affirment fièrement que l’application a été téléchargée plus d’un million de fois et qu’il s’agit d’une des 20 meilleures applications professionnelles dans 20 pays.
«Un attaquant peut transmettre le numéro d’un autre utilisateur dans la demande d’enregistrement et l’API répondra avec l’URL d’enregistrement du compartiment de stockage sans aucune authentification», a écrit le chercheur. « Il divulgue également l’historique complet des appels de la victime et les numéros sur lesquels les appels ont été passés. »
Il a ajouté: «La vulnérabilité permettait à tout acteur malveillant d’écouter l’enregistrement des appels de n’importe quel utilisateur à partir du compartiment de stockage cloud de l’application et d’un point de terminaison d’API non authentifié qui a divulgué l’URL de stockage cloud des données de la victime.»
La vulnérabilité choquante a maintenant été fermée, et on ne sait pas si la faille a été exploitée dans la nature, au-delà de la découverte de Prakash.
Le développeur de l’application n’a pas encore commenté la découverte, mais Avis fiables a contacté l’entreprise pour obtenir plus de détails. L’application a été mise à jour pour la dernière fois dimanche, avec TechCrunch soulignant la version «corrige un rapport de sécurité», il semble donc que c’est ce qui a pris soin de la vulnérabilité.
Êtes-vous un utilisateur de Call Recorder? Allez-vous arrêter votre utilisation de l’application après ce rapport? Faites-nous savoir @trustedreviews sur Twitter.