Ευπάθεια εφαρμογής μπορεί να διαρρεύσει καταγεγραμμένες κλήσεις

Όπως μαθαίνουμε από το γνωστό ερευνητή

ασφαλείας

, Anand Prakash της PingSafe AI, υπάρχει μια



εφαρμογή

η οποία διαθέτει μια



ευπάθεια

που μπορεί να δώσει εύκολα πρόσβαση σε κάποιον, ο οποίος έπειτα έχει το δικαίωμα να ακούσει τις καταγεγραμμένες κλήσεις σας. Η συγκεκριμένη



εφαρμογή

μπορεί να εγκατασταθεί σε iPhones και συνεπώς να βλάψει όσους την χρησιμοποιούν. Έχει εγκατασταθεί 1 εκατομμύριο φορές, ενώ βρίσκεται μέσα στις top 20



εφαρμογές

σε 20 περίπου χώρες.

Σύμφωνα με τον ερευνητή, το

Call Recorder

παρέχει πρόσβαση σε ολόκληρη τη βιβλιοθήκη εγγραφών ενός χρήστη, γνωρίζοντας μόνο τον αριθμό τηλεφώνου του και αυτό λόγω της ευπάθειας. Ο Praksh εκμεταλλεύτηκε την



ευπάθεια

και χρησιμοποίησε ένα proxy για να αντικαταστήσει τον αριθμό τηλεφώνου του με τον αριθμό ενός άλλου χρήστη, με αποτέλεσμα να μπορεί να ακούσει οποιαδήποτε από τις καταγεγραμμένες κλήσεις του.

Ένας εισβολέας μπορεί να μεταβιβάσει τον αριθμό άλλου χρήστη στο αίτημα εγγραφής και το API θα ανταποκριθεί χωρίς έλεγχο ταυτότητας. Διαρρέει, έτσι, ολόκληρο το ιστορικό κλήσεων του θύματος και τους αριθμούς στους οποίους πραγματοποιήθηκαν κλήσεις. Η



ευπάθεια

επέτρεψε σε οποιονδήποτε κακόβουλο παράγοντα να ακούσει την εγγραφή κλήσεων οποιουδήποτε χρήστη από το

cloud

της εφαρμογής και να διαρρεύσει τη διεύθυνση URL αποθήκευσης των δεδομένων του θύματος.

Το πρόβλημα πιθανόν έχει επιλυθεί μετά την

ενημέρωση


ασφαλείας

την Κυριακή.