Se você tem um iPhone e costuma gravar suas chamadas telefônicas por razões de trabalho ou qualquer coisa do tipo, é provável já tenha experimentado o — ou ao menos ouvido falar do — Call Recorder, um app que se propõe exatamente a isso.
O aplicativo tem mais de 2,2 mil avaliações na App Store dos Estados Unidos, vários reviews positivos, é o 64º mais baixado no segmento Negócios na loja brasileira e afirma não coletar quaisquer dados vinculados ao usuário.
Parece ótimo, não? Só há um problema: um bug expôs milhares de gravações realizadas pelo app na internet.
O caso foi relatado pelo pesquisador Anand Prakash, da PingSafe: basicamente, o Call Recorder permitia que qualquer usuário acessasse as gravações de chamadas realizadas por outras pessoas — basta usar uma ferramenta de proxy, como a Burp Suite, para modificar o tráfego chegando e saindo do aplicativo e alterar o seu número de telefone pelo número do seu “alvo”.
As descobertas foram verificadas pelo TechCrunch e estão relacionadas a um problema sobre o qual comentamos aqui recentemente: muitos desenvolvedores simplesmente não configuram seus servidores da forma correta e, com isso, expõem os dados dos seus usuários mesmo sem ter essa intenção.
No caso do Call Recorder, as gravações de chamadas são armazenadas num bucket da Amazon Web Services (AWS) que já conta com mais de 130 mil clipes de áudio e 300GB de dados. Após a exposição do caso, o bucket foi fechado e a lista de arquivos não pode mais ser acessada; da mesma forma, o app foi atualizado no último sábado (6/3) para corrigir a vulnerabilidade. Ainda assim, o vazamento já está sacramentado.
Ou seja: mais um lembrete para que usuários entreguem seus dados somente a desenvolvedores extremamente confiáveis — e para que os desenvolvedores tomem mais cuidado com os dados dos usuários.