Popular entre os usuários do iPhone, o Automatic Call Recorder possuía uma brecha que expunha milhares de gravações de chamadas telefônicas. A vulnerabilidade foi descoberta por Anand Prakash, pesquisador de segurança digital e fundador da PingSafe AI.
Segundo o especialista, qualquer pessoa com uma ferramenta de proxy como o Burp Suite teria acesso aos arquivos. O invasor apenas substituiria o número de telefone registrado no app pelo número de outro usuário para conseguir visualizar a lista de gravações.
Automatic Call Recorder já teve mais de 1 milhão de downloads.Fonte: We The Geek/Reprodução
Seguindo as orientações de Prakash, a equipe do TechCrunch verificou a veracidade da brecha de segurança. Para realizar o teste, foi utilizado um celular extra com uma conta dedicada.
Conforme as informações, o aplicativo armazena as gravações em um servidor na nuvem hospedado no Amazon Web Services. Embora fosse possível visualizar a lista de arquivos, os conteúdos não puderam ser diretamente acessados ou baixados.
De toda forma, o servidor tinha mais de 130 mil gravações de áudio, totalizando cerca de 300 GB de dados. Todas essas informações poderiam ser acessadas facilmente por qualquer pessoa que se aproveitasse da falha de segurança.
App recebeu atualização com correção de segurança no último sábado (6).Fonte: 9to5 Mac/Reprodução
Bug corrigido na App Store
Após identificar a falha, o TechCrunch entrou em contato com a desenvolvedora do aplicativo Automatic Call Recorder. Então, o site apenas publicou a matéria sobre os detalhes sobre a vulnerabilidade após ela ter sido corrigida.
No último sábado (6), uma nova versão do aplicativo foi disponibilizada na App Store da Apple. Sem grandes detalhes, uma nota informava que o objetivo da recente atualização do software era “corrigir um relatório de segurança”.
Por fim, o TechCrunch informou que após o contato inicial para informar o problema, a desenvolvedora Arun Nair não retornou os diversos pedidos para comentários.
Fontes
Categorias