פגיעת אבטחה התגלתה באפליקציה פופולרית להקלטת שיחות לאייפון, וחשפה את הקלטות השיחות של אלפי משתמשים.

הפגם ב אפליקציית מקליט שיחות אוטומטית התגלה על ידי חוקר האבטחה של PingSafe AI אנאנד פראקש. מתברר שכל אחד יכול היה לגשת להקלטות ממשתמשים אחרים, כל עוד ידעו את מספרי הטלפון של המשתמשים האחרים.

  • כל מה שאנחנו יודעים על אייפון 13
  • אלה הם אפליקציות ההודעות המוצפנות הטובות ביותר אתה יכול להוריד עכשיו
  • ועוד: דליפת גוגל פיקסל 6 רק חשפה שני שדרוגים גדולים

לדברי פרקש, זה לא פשוט כמו להזין את מספר הטלפון של המשתמש ואז לקבל גישה לכל השיחות שהוקלטו. אבל גם זה לא כל כך קשה. פרקאש השיג זאת בעזרת כלי ה- proxy המארח את הרשת Burp Suite.

בשימוש נרחב על ידי חוקרי אבטחה, Burp Suite אפשרה לפראקש להציג ולשנות את תעבורת הרשת בזמן שהיא עברה אל ומכשיר מקליט השיחות האוטומטי באייפון שלו. זה אפשר לו לשנות את מספר הטלפון הרשום עם זה של משתמש רשום אחר.

פגיעות זו מראה על הסכנות הטמונות באחסון נתוני אפליקציות באחסון ענן ואי אבטחה נכונה, כפי שהיה המקרה כאן.

לפי TechCrunch, שהצליחו לשחזר את הניצול, מקליט השיחות האוטומטיות מאחסן את הקלטותיו בדלי אחסון ענן שמארחת אמזון שירותי האינטרנט. הדלי הזה הכיל כ -130,000 הקלטות שתפסו שטח של 300 ג'יגה.

בשבוע שעבר עולה דו"ח של חברת האבטחה הסלולרית זימפריום אפליקציות חכמות דולפות רחוקות מלהיות נדירות. החברה מצאה כ- 18,000 אפליקציות אנדרואיד ו- iOS שלא הקימו נכונה מסדי נתונים של אחסון ענן. למרות שהאפליקציות לא נקבו בדוח זה, פירוש הדבר שמיליוני משתמשים עשויים להיות בסיכון לחשוף את הנתונים שלהם.

TechCrunch יצר קשר עם המפתחים של Automatic Call Recorder, שתיקנו מייד את הניצול ב- 6 במרץ. לכן אין צורך למחוק את כל ההקלטות שלך בבהלה כל עוד אתה מעדכן את מקליט השיחות האוטומטי לגרסה 2.26.

  • יותר: הנה ה מיטב אפליקציות האייפון בחינם אתה יכול להוריד עכשיו

קבל גישה מיידית לחדשות חדשות, הביקורות החמות ביותר, מבצעים מעולים וטיפים מועילים.

תודה שנרשמת למדריך של טום. תקבל דוא"ל אימות בקרוב.

הייתה בעיה. אנא רענן את הדף ונסה שוב.

אין דואר זבל, אנו מבטיחים. תוכל לבטל את הרישום בכל עת ולעולם לא נשתף את פרטיך ללא רשותך.