Уязвимость в приложении под названием «Call Recorder» раскрыла тысячи разговоров клиентов, сообщает TechCrunch. Уязвимость была обнаружена исследователем безопасности PingSafe AI Ананд Пракашем, и с тех пор была устранена.

Приложение Call Recorder предназначено для того, чтобы позволить пользователям iPhone записывать входящие и исходящие телефонные звонки, причем эти записи хранятся в облаке на Amazon Web Services.

Используя такой инструмент, как Burp Suite, Пракаш смог просматривать и изменять сетевой трафик, входящий и выходящий из приложения, а когда он заменил свой номер телефона на номер другого пользователя Call Recorder, их записи стали доступны на его телефоне.

Было доступно более 130 000 аудиозаписей, хотя файлы нельзя было получить или скачать за пределами приложения. TechCrunch проинформировал разработчика об уязвимости безопасности, и она была исправлена в обновлении в субботу.

Недавний отчет компании Zimperium, специализирующейся на мобильной безопасности, показал, что тысячи приложений для iOS, использующих общедоступные облачные сервисы, такие как Amazon Web Services, Google Cloud и Microsoft Azure, имеют неправильные настройки, которые рискуют раскрыть данные пользователей.

Было обнаружено, что 6 608 приложений для iOS раскрывают личную информацию, пароли и медицинские данные пользователей. Генеральный директор Zimperium Шридхар Миттал заявил, что неправильные конфигурации облачных хранилищ являются «тревожной тенденцией».

«Многие из этих приложений имеют облачные хранилища, которые были неправильно настроены разработчиком или кем-либо, кто занимался их настройкой, и поэтому данные видны практически любому. И у большинства из нас есть некоторые из этих приложений прямо сейчас», — сказал он.

В отчете не были названы конкретные приложения из-за связанных с этим уязвимостей, но некоторые из них были крупными приложениями, включая мобильный кошелек от компании из списка Fortune 500 и транспортное приложение крупного города.