O melhor pedaço da Maçã.

App para iPhone expôs milhares de gravações de chamadas

Tudo por conta de um provável erro de configuração dos servidores
Call Recorder

Se você tem um iPhone e costuma gravar suas chamadas telefônicas por razões de trabalho ou qualquer coisa do tipo, é provável já tenha experimentado o — ou ao menos ouvido falar do — Call Recorder, um app que se propõe exatamente a isso.

Publicidade

O aplicativo tem mais de 2,2 mil avaliações na App Store dos Estados Unidos, vários reviews positivos, é o 64º mais baixado no segmento Negócios na loja brasileira e afirma não coletar quaisquer dados vinculados ao usuário.

Parece ótimo, não? Só há um problema: um bug expôs milhares de gravações realizadas pelo app na internet.


Ícone do app gravador de chamadas - de voz
gravador de chamadas - de voz de Arun Nair
Compatível com iPhones
Versão 3.2 (70.7 MB)
Requer o iOS 13.2 ou superior
GrátisBadge - Baixar na App Store Código QR Código QR

O caso foi relatado pelo pesquisador Anand Prakash, da PingSafe: basicamente, o Call Recorder permitia que qualquer usuário acessasse as gravações de chamadas realizadas por outras pessoas — basta usar uma ferramenta de proxy, como a Burp Suite, para modificar o tráfego chegando e saindo do aplicativo e alterar o seu número de telefone pelo número do seu “alvo”.

Publicidade

As descobertas foram verificadas pelo TechCrunch e estão relacionadas a um problema sobre o qual comentamos aqui recentemente: muitos desenvolvedores simplesmente não configuram seus servidores da forma correta e, com isso, expõem os dados dos seus usuários mesmo sem ter essa intenção.

No caso do Call Recorder, as gravações de chamadas são armazenadas num bucket da Amazon Web Services (AWS) que já conta com mais de 130 mil clipes de áudio e 300GB de dados. Após a exposição do caso, o bucket foi fechado e a lista de arquivos não pode mais ser acessada; da mesma forma, o app foi atualizado no último sábado (6/3) para corrigir a vulnerabilidade. Ainda assim, o vazamento já está sacramentado.

Ou seja: mais um lembrete para que usuários entreguem seus dados somente a desenvolvedores extremamente confiáveis — e para que os desenvolvedores tomem mais cuidado com os dados dos usuários.

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

“Greyhound” e “Wolfwalkers” recebem indicações ao BAFTA

Próx. Post

CorelDRAW 2021 chega com suporte ao M1 e app para iPad

Posts Relacionados