Suojausvirhe 'Call Recorder' -nimisessä sovelluksessa paljasti tuhansia asiakkaiden keskusteluja, raportoi TechCrunch . Haavoittuvuuden löysi PingSafe AI -tutkija Anand Prakesh, ja se on sittemmin korjattu.
The Call Recorder -sovellus on suunniteltu sallimaan iPhone käyttäjät voivat tallentaa saapuvat ja lähtevät puhelunsa ja tallentaa ne Amazon Web Services -palvelun pilveen.
Burp Suiten kaltaisen välityspalvelimen avulla Prakash pystyi tarkastelemaan ja muokkaamaan sovellukseen sisään ja ulos tulevaa verkkoliikennettä, ja kun hänen puhelinnumeronsa korvattiin toisen Call Recorder -käyttäjän puhelinnumerolla, heidän nauhoitteensa tulivat saataville hänen puhelimeensa.
Saatavilla oli yli 130 000 äänitallenteita, vaikka tiedostoja ei voitu käyttää tai ladata sovelluksen ulkopuolella. TechCrunch ilmoitti kehittäjälle tietoturvavirheestä ja se korjattiin lauantain päivityksessä.
Mobiiliturvallisuusyritys Zimperiumin tuore raportti ehdotti, että tuhannet iOS-sovellukset, jotka käyttävät julkisia pilvipalveluita, kuten Amazon Web Services, Google Cloud ja Microsoft Azure on väärät asetukset jotka voivat paljastaa käyttäjätietoja.
6 608 iOS-sovelluksen havaittiin paljastavan käyttäjien henkilökohtaisia tietoja, salasanoja ja lääketieteellisiä tietoja. Zimperiumin toimitusjohtaja Shridhar Mittal sanoi, että pilvitallennusvirheet ovat 'häiritsevä trendi'.
'Monissa näistä sovelluksista on pilvitallennustilaa, jota kehittäjä tai kuka tahansa ei ole määrittänyt oikein, ja tämän vuoksi tiedot näkyvät melkein kaikille. Ja useimmilla meistä on joitain näistä sovelluksista juuri nyt', hän sanoi.
Raportissa ei nimetty yhtään sovellusta haavoittuvuuksien vuoksi, mutta osa niistä oli suuria sovelluksia, mukaan lukien Fortune 500 -yrityksen mobiililompakko ja suuren kaupungin kuljetussovellus.
Tunnisteet: App Store , AWS
Suosittu Viestiä