通话记录器应用程序。版权所有:PingSafe AI PingSafe AI是一家实时监控多个漏洞的安全公司,它发现了iPhone自动通话记录器应用程序中的一个关键漏洞,该漏洞暴露了数千名用户的录音通话。PingSafe通过评估组织的域、IP、移动应用程序、泄露的凭据和源代码的安全状况来工作。该漏洞由安全研究人员和PingSafe AI首席执行官Anand Prakash通过开源情报发现,并由TechCrunch安全编辑Zack Whittaker验证,该漏洞允许潜在攻击者使用应用程序的云存储桶和泄露受害者云存储网址的未经身份验证的API端点监听任何呼叫。事实上,PingSafe AI发现,该应用程序的IPA文件甚至使用了主机名、S3桶和其他敏感的用户数据。
恶意参与者可以通过在录制请求中替换另一个用户的号码来利用此漏洞,提示应用编程接口使用存储桶的录制网址进行响应,而无需任何身份验证。攻击者只需要受害者的电话号码。此外,该应用程序还显示了受害者的整个通话记录以及拨打电话的号码。
普拉卡什使用应用程序漏洞测试程序Burp Suite/ZAP成功发现了这个漏洞,该程序向他显示了一个POST API请求,将受害者的用户标识更改为他们的电话号码,并带有任何国家代码。此时,攻击者可以观察到受害者的S3网址以及更多敏感细节。
虽然亚马逊网络服务云存储服务器被发现是打开的,其中的文件暴露,这些文件无法访问或下载。苹果成功地及时关闭了这个漏洞的新闻报道。
在召回和缓解该bug后,自动呼叫记录器应用的新版本于2021年3月6日发布到App Store。毫无疑问,这些漏洞给用户和企业带来了巨大的风险。在用户方面,客户将暴露大量数据。另一方面,开发该应用程序的公司可能会遭受声誉损害,并严重失去用户和合作伙伴的信任。此外,这些漏洞泄露的数据甚至可以为苹果等组织的品牌竞争对手提供优势。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
