Een beveiligingsfout in een app genaamd 'Call Recorder' legde duizenden klantgesprekken bloot, rapporten TechCrunch . De kwetsbaarheid werd gevonden door PingSafe AI-onderzoeker Anand Prakesh en is sindsdien gepatcht.
De Call Recorder-app is ontworpen om iPhone gebruikers om hun inkomende en uitgaande telefoongesprekken op te nemen, met die opnames opgeslagen in de cloud op Amazon Web Services.
Met behulp van een proxy-tool zoals Burp Suite kon Prakash het netwerkverkeer dat de app in- en uitging bekijken en wijzigen, en toen hij zijn telefoonnummer verving door het telefoonnummer van een andere Call Recorder-gebruiker, kwamen hun opnamen beschikbaar op zijn telefoon.
Er waren meer dan 130.000 audio-opnames beschikbaar, hoewel de bestanden niet buiten de app konden worden geopend of gedownload. TechCrunch informeerde de ontwikkelaar over het beveiligingslek en het werd zaterdag opgelost in een update.
Een recent rapport van het mobiele beveiligingsbedrijf Zimperium suggereerde dat duizenden iOS-apps die openbare cloudservices gebruiken, zoals Amazon Web Services, Google Cloud en Microsoft Azure hebben onjuiste instellingen die het risico lopen gebruikersgegevens bloot te stellen.
6.608 iOS-apps bleken persoonlijke informatie, wachtwoorden en medische informatie van gebruikers vrij te geven. Zimperium CEO Shridhar Mittal zei dat misconfiguraties van cloudopslag een 'verontrustende trend' zijn.
'Veel van deze apps hebben cloudopslag die niet goed is geconfigureerd door de ontwikkelaar of wie dan ook, en daardoor zijn de gegevens voor bijna iedereen zichtbaar. En de meesten van ons hebben nu een aantal van deze apps', zei hij.
Er werden geen apps genoemd in het rapport vanwege de betrokken kwetsbaarheden, maar sommige waren grote apps, waaronder een mobiele portemonnee van een Fortune 500-bedrijf en een transport-app uit een grote stad.
Tags: App Store , AWS
Populaire Berichten