אפליקציית הקלטת שיחות לאייפון חשפה עשרות אלפי הקלטות של משתמשים

האפליקציה הורדה יותר ממיליון פעם, ומאות אלפי שיחות של משתמשים היו זמינות להאזנה של כל אחד

tape a call

תמונה: גיקטיים

משתמשי אנדרואיד יכולים בדרך כלל להקליט שיחות ישירות מאפליקציית החייגן, אבל עד היום משתמשי iOS נאלצים להיעזר באפליקציות חיצוניות כדי להגן על עצמם מנותני שירות שהבטיחו דברים ולא קיימו, או כדי לתעד שיחות עסקים חשובות או אפילו לצורך מקרים משפטיים בהם הקלטה יכולה להטות את הכף. כעת מתברר שפירצת אבטחה באחת מאפליקציות הקלטת שיחות לאייפון הותירה הקלטות חשופות.

130 אלף הקלטות בבאקט פומבי

חוקר האבטחה עדנאן פרקש חשד שאפליקצייה בשם ACR Call Recorder (בעלת השם הדומה לאחת מאפליקציות ההקלטות הפופולאריות ביותר לאנדרואיד) מאפשרת לכל דורש לגשת לשיחות המוקלטות של משתמשים אחרים, פשוט על ידי שימוש במספר הטלפון שלהם (שניתן לניחוש בקלות על ידי כל כלי רנדומיזציה בסיסי). לכן הוא נעזר בכלי Burp Suite כדי לנטר את המידע הנכנס והיוצא מהאפליקציה והבין שהוא פשוט יכול להחליף את המספר הרשום באפליקציה בלי בעיה, ולקבל גישה לכל ההקלטות של המשתמשים האחרים. פרקש פנה לאתר טקראנץ’ שאישר את הממצאים.

הסיבה? האפליקציה איחסנה את כל ההקלטות של כל משתמשיה בבאקט פתוח וחשוף בענן של AWS. בטקראנץ’ טוענים כי הענן הפומבי אמנם הציג למעלה מ-130 אלף הקלטות של משתמשים במשקל כולל של יותר מ-300 גיגה-בייט, אבל ההקלטות עצמן לא היו נגישות ללא שימוש באפליקציה. האתר פנה למפתח האפליקציה שסגר את הפירצה ביום שבת האחרון, אך סירב להגיב לממצאים עצמם.

על פי אתר האפליקציה, היא הורדה יותר ממיליון פעמים ברחבי העולם, וגם בישראל ניתן למצוא לא מעט ביקורות של משתמשים ישראליים שלכל הפחות בדקו אותה. על פי נתוני Sensor Tower, רק בחודש ינואר האפליקציה הורדה יותר מ-90 אלף פעם.

הבעיה שלא מפסיקה לספק דליפות מידע

מפתח האפליקציה סירב כאמור להגיב לממצאים, כך שנכון לעכשיו אנחנו לא יודעים האם הפירצה נוצלה על ידי שחקן פחות סימפטי מחוקר האבטחה, אך גם הפירצה הזאת מדגישה שוב שמפתחים רבים מותירים מאגרי מידע חשופים כיוון שהם לא יודעים להגדירם כשורה. נזכיר גם כי חוקר אבטחה ישראלי יצר כלי שמאפשר לכם לבדוק האם באקטים חשופים אכן לא מוגנים כשורה, ולעזור לכם למצוא למי הם שייכים.

 

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

2 תגובות על "אפליקציית הקלטת שיחות לאייפון חשפה עשרות אלפי הקלטות של משתמשים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אורן
Guest

מפתחים עם אפס מודעות לאבטחה מוציאים אפליקציות ופיצרים.
עצוב…

מימי
Guest

עכשיו תחשוב מה רץ לך באנדרואיד ממי העיקר OSS חמוד תהנה אתה והמלוורז שלך

wpDiscuz

תגיות לכתבה: