Aplicación para iPhone expuso miles de grabaciones de llamadas

Si tienes un iPhone y normalmente grabar sus llamadas telefónicas por razones laborales o algo por el estilo, probablemente ya haya experimentado, o al menos haya oído hablar, Grabador de llamadas, una aplicación que propone exactamente eso.

La aplicación tiene más de 2.200 reseñas en la App Store de EE. UU., Varias críticas positivas, es la 64 más descargada en el segmento Business en la tienda brasileña y afirma no recopilar ningún dato relacionado con el usuario.

Suena genial, ¿no? Solo hay un problema: un error expuesto miles de grabaciones realizado por la aplicación en Internet.


El caso fue denunciado por el investigador Anand Prakash, de PingSafe: Básicamente, la grabadora de llamadas permitía a cualquier usuario acceder a las grabaciones de las llamadas realizadas por otras personas, simplemente use una herramienta. apoderado, como Burp Suite, para modificar el tráfico de entrada y salida de la aplicación y cambiar su número de teléfono a su número «objetivo».

Los hallazgos han sido verificados por TechCrunch y están relacionados con un problema que hemos comentado aquí recientemente: muchos desarrolladores simplemente no configuran sus servidores correctamente y, por lo tanto, exponen los datos de sus usuarios aunque no tengan la intención de hacerlo.

En el caso de la grabadora de llamadas, las grabaciones de llamadas se almacenan en un Cubeta de Amazon Web Services (AWS), que ya tiene más de 130.000 clips de audio y 300 GB de datos. Tras la presentación del caso, el Cubeta se ha cerrado y ya no se puede acceder a la lista de archivos; Asimismo, la aplicación se actualizó el pasado sábado (6/3) para corregir la vulnerabilidad. Aún así, la fuga ya está sellada.

En otras palabras, otro recordatorio para que los usuarios solo entreguen sus datos a desarrolladores extremadamente confiables, y para que los desarrolladores sean más cuidadosos con los datos de los usuarios.

Artículos relacionados