3月10日消息 安全研究員、PingSafe AI 創始人 Anand Prakash 發現了流行的 iPhone 應用 “自動通話記錄器”(Automatic Call Recorder)的一個漏洞。這個漏洞允許任何人通過知曉其他用戶的電話號碼來獲取他們的通話記錄。
據 TechCrunch 報道,這個安全漏洞暴露了數千名用戶的通話記錄。通過 Burp Suite 等代理工具,Prakash 可以查看和修改進出該應用的網絡流量。
IT之家獲悉,這意味著他可以將自己在應用中注冊的電話號碼替換為另一個應用用戶的電話號碼,并在自己的手機上訪問他們的錄音內容。
TechCrunch 表示,它可以驗證 Prakash 的發現,并等到開發者修復了這個錯誤后再發布報道。
該應用將用戶的通話記錄存儲在 AWS 托管的云存儲 Bucket(桶)上。雖然公開并列出了里面的文件,但文件無法訪問或下載。截至記者發稿時,該 Bucket 已經關閉。
報道解釋說,3 月 6 日,“自動通話記錄器”應用的開發商發布了安全更新,但在修復之前,超過 13 萬份錄音可以被任何人訪問。據其頁面顯示,該應用在 App Store 的下載量超過 100 萬次。開發商宣稱,該應用 “可能是你在 App Store 上能找到的最容易使用的通話錄音機”。
開發商沒有回復 TechCrunch 團隊的幾次置評請求,截至目前,該 Bug 已經被修復。
