IT之家3月10日消息 安全研究員、PingSafe AI 創始人 Anand Prakash 發現了流行的 iPhone 應用 “自動通話記錄器”(Automatic Call Recorder)的一個漏洞。這個漏洞允許任何人通過知曉其他用户的電話號碼來獲取他們的通話記錄。
據 TechCrunch 報道,這個安全漏洞暴露了數千名用户的通話記錄。通過 Burp Suite 等代理工具,Prakash 可以查看和修改進出該應用的網絡流量。
IT之家獲悉,這意味着他可以將自己在應用中註冊的電話號碼替換為另一個應用用户的電話號碼,並在自己的手機上訪問他們的錄音內容。
TechCrunch 表示,它可以驗證 Prakash 的發現,並等到開發者修復了這個錯誤後再發布報道。
該應用將用户的通話記錄存儲在 AWS 託管的雲存儲 Bucket(桶)上。雖然公開並列出了裏面的文件,但文件無法訪問或下載。截至記者發稿時,該 Bucket 已經關閉。
報道解釋説,3 月 6 日,“自動通話記錄器”應用的開發商發佈了安全更新,但在修復之前,超過 13 萬份錄音可以被任何人訪問。據其頁面顯示,該應用在 App Store 的下載量超過 100 萬次。開發商宣稱,該應用 “可能是你在 App Store 上能找到的最容易使用的通話錄音機”。
開發商沒有回覆 TechCrunch 團隊的幾次置評請求,截至目前,該 Bug 已經被修復。