Una vulnerabilità di sicurezza scovata in una popolare app di registrazione delle chiamate per iPhone ha esposto migliaia di conversazioni registrate dagli utenti.
Il bug è stato scoperto dal ricercatore di sicurezza Anand Prakash mentre analizzava l’app Call Recorder per iPhone. La falla consentiva a chiunque di accedere alle registrazioni delle chiamate di altri utenti, semplicemente conoscendo il loro numero di telefono.
Per sfruttare questo bug, era sufficiente utilizzare uno strumento proxy come Burp Suite e quindi modificare il traffico di rete in entrata e in uscita dall’app. Questo significa che un malintenzionato poteva sostituire il numero di telefono registrato all’interno dell’app con quello di un altro utente che utilizzava Call Recorder, così da accedere alle registrazioni presenti sul suo telefono.
L’app memorizza infatti le registrazioni delle chiamate dell’utente su un bucket di archiviazione cloud ospitato su Amazon Web Services. Il bug è stato ora corretto dagli sviluppatori, ma prima di questa correzione si stima che sui server fossero presenti oltre 130.000 registrazioni audio slavate dagli utenti e tutte potenzialmente esposte al bug. Ovviamente, il problema ha riguardato soltanto gli utenti che hanno utilizzato l’app Call Recorder in passato.
E voi, avete mai utilizzato questa app?