Индийский ИБ-исследователь Ананд Пракаш (Anand Prakash), основатель PingSafe AI, обнаружил проблему, связанную с популярным iOS-приложением Call Recorder для записи телефонных звонков. Согласно официальной статистике, это приложение уже загрузили более миллиона раз.

В своем блоге специалист рассказывает, что, просто зная номер телефона пользователя, любой мог получить доступ к записанным разговорам. Дело в том, что эксперт нашел облачное хранилище приложения в AWS, вместе с именами хостов и конфиденциальными данными, которые использовал Call Recorder.

Оказалось, что при помощи Burp Suite Пракаш мог просматривать и изменять входящий и исходящий сетевой трафик приложения. Так как API не выполнял никакой аутентификации, фактически Пракаш имел возможность подменить свой номер телефона, зарегистрированный в приложении, на номер любого другого пользователя и получить доступ к записям чужих разговоров.

В обнаруженном хранилище содержались более 130 000 записей, общим объемом около 300 гигабайт.

Журналисты издания TechCrunch связались с разработчиком Call Recorder и сообщают, что в настоящее время баг был исправлен, и хранилище более недоступно. Новая версия приложения была выпущена в App Store еще в минувшие выходные.

Источник: xakep