Kekurangan keselamatan dalam aplikasi perakam panggilan untuk iPhone membolehkan penggodam atau orang lain mendengarkan rakaman panggilan pengguna jika mereka mengetahui nombor telefon sasaran.
Aplikasi ini dipanggil Call Recorder yang memungkinkan pengguna merakam panggilan masuk dan keluar, walaupun tanpa sambungan internet. Pada masa ini Call Recorder telah dimuat turun lebih dari satu juta kali di Apple App Store.
Kekurangan dalam Call Recorder pertama kali ditemui oleh penyelidik keselamatan dan pengasas Pingsafe AI, Anand Prakash yang berkongsi penemuannya dengan TechCrunch.
Prakash mendapati bahawa ia dapat mengubah lalu lintas memasuki dan meninggalkan aplikasi menggunakan proksi seperti Burp Suite. Ini bermaksud bahawa dia dapat mengganti nombor telefonnya yang didaftarkan dalam aplikasi dengan nombor telefon pengguna lain, kemudian mengakses rakaman panggilan mereka dan metadata yang berkaitan di telefon bimbitnya.
Perekam Panggilan menyimpan rakaman panggilan pengguna dalam keranjang awan yang disediakan oleh Amazon Web Services. Walaupun pelayan awan terbuka dan menyenaraikan data di dalamnya, data tersebut tidak dapat diakses atau dimuat turun.
"Celah ini memungkinkan pelaku jahat mendengarkan rakaman panggilan pengguna dari penyimpanan keranjang awan aplikasi dan titik akhir API yang tidak disahkan yang membocorkan URL penyimpanan data awan mangsa," tulis Prakesh dalam laporannya, seperti dikutip oleh Gizmodo, Rabu (10/3/2021) .
Setelah Prakash melaporkan penemuannya kepada pembangun aplikasi, Call Recorder memperbaiki celah pada hari Sabtu minggu lalu dan mengeluarkan versi yang lebih selamat dan lebih selamat tanpa bug.
Oleh kerana ia belum diperbaiki, penyimpanan keranjang awan yang digunakan Call Recorder mempunyai lebih dari 130,000 rakaman audio yang berukuran hingga 300GB. Pada masa ini baldi awan ditutup.
