IT之家3月10日消息 安全研究員、PingSafe AI 創(chuàng)始人 Anand Prakash 發(fā)現(xiàn)了流行的 iPhone 應(yīng)用 “自動通話記錄器”(Automatic Call Recorder)的一個漏洞。這個漏洞允許任何人通過知曉其他用戶的電話號碼來獲取他們的通話記錄。
據(jù) TechCrunch 報道,這個安全漏洞暴露了數(shù)千名用戶的通話記錄。通過 Burp Suite 等代理工具,Prakash 可以查看和修改進(jìn)出該應(yīng)用的網(wǎng)絡(luò)流量。
IT之家獲悉,這意味著他可以將自己在應(yīng)用中注冊的電話號碼替換為另一個應(yīng)用用戶的電話號碼,并在自己的手機(jī)上訪問他們的錄音內(nèi)容。
TechCrunch 表示,它可以驗證 Prakash 的發(fā)現(xiàn),并等到開發(fā)者修復(fù)了這個錯誤后再發(fā)布報道。
該應(yīng)用將用戶的通話記錄存儲在 AWS 托管的云存儲 Bucket(桶)上。雖然公開并列出了里面的文件,但文件無法訪問或下載。截至記者發(fā)稿時,該 Bucket 已經(jīng)關(guān)閉。
報道解釋說,3 月 6 日,“自動通話記錄器”應(yīng)用的開發(fā)商發(fā)布了安全更新,但在修復(fù)之前,超過 13 萬份錄音可以被任何人訪問。據(jù)其頁面顯示,該應(yīng)用在 App Store 的下載量超過 100 萬次。開發(fā)商宣稱,該應(yīng)用 “可能是你在 App Store 上能找到的最容易使用的通話錄音機(jī)”。
開發(fā)商沒有回復(fù) TechCrunch 團(tuán)隊的幾次置評請求,截至目前,該 Bug 已經(jīng)被修復(fù)。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。