iPhone, bug di Call Recorder esponeva le chiamate registrate online

iPhone alle prese con un imbarazzante bug della app Call Recorder, che ha esposto migliaia di conversazioni telefoniche sui server di Amazon.

iPhone call recorder, bug sulla app small pic
iPhone, bug sulla app Call Recorder (photo by Jan Antonin Kolar on unsplash)

Erano la bellezza di 130 mila le registrazioni delle chiamate effettuate da possessori di iPhone esposte online su un bucket di Amazon Web Services. Responsabile dell’incidente una app dell’Apple Store chiamata Automatic Call Recorder. Come suggerisce il nome, la app serve a registrare le chiamate, ma un bug permetteva a un utente qualsiasi di accedere all’archivio delle registrazioni, inserendo semplicemente il numero di telefono di uno degli utenti coinvolti. Call Recorder vanta oltre un milione di download, ed era nella top 20 delle app scaricate nel settore business a livello globale.

Attualmente riparata, la vulnerabilità è stata scoperta da Anand Prakash, esperto di sicurezza informatica e fondatore di PingSafeAi, durante una ricerca aperta su diverse categorie di applicazioni per smartphone. Il ricercatore ha sottolineato che si tratta di una falla potenzialmente disastrosa: sia per gli utenti la cui privacy è altamente a rischio, che per l’azienda colpevole di aver sviluppato la app che ha permesso la breach e che perciò incassa un danno di immagine non indifferente. Ma vediamo più nel dettaglio cosa ha rilevato il team di Pingsafe Ai.

iPhone, ecco come tramite Call Recorder le registrazioni erano esposte online

iphone call recorder logo app
Uno screenshot della app sull’Apple Store (image from apps.apple.com)

PROVA UN ALTRO CONTENUTO>>>App Google, giro di vite per gli smartphone Android non certificati

Secondo Prakash, sarebbe stato possibile per qualsiasi attore malevolo “ascoltare le registrazioni delle chiamate di qualsiasi utente” effettuate tramite Automatic Call Recorder. Il bug riguardava l’endpoint “/fetch-sinch-recordings.php”. Per accedere al bucket, bastava avere un numero dell’utente che si intendeva spiare, senza bisogno di superare altri sistemi di autenticazione. Oltre alle registrazioni, anche l’intera cronologia delle chiamate della vittima era esposta, numeri di telefono inclusi.

FORSE TI INTERESSA—>iOS 14.1, una vulnerabilità porterebbe nuove possibilità di Jailbreak

Seguendo le istruzioni di Prakash, lo staff di Techcrunch ha raggiunto l’archivio delle chiamate sul cloud di Amazon, contenente circa 130 mila file audio per un peso complessivo di 300 giga. Nonostante l’imponente mole di dati sensibili, Techcrunch ha precisato di non aver avuto accesso alle registrazioni, né in riproduzione, né in download. Prima di dare eco alla vicenda, la testata ha inoltre contattato gli sviluppatori di Call Recorder, che sabato scorso hanno reso disponibile una nuova versione della app sull’Apple Store, ma non hanno ulteriormente commentato la vicenda. Anche il bucket di Amazon è stato chiuso. Inutile dire che tutti i possessori di iPhone che utilizzano la appa incriminata devono effettuare immediatamente l’upgrade alla nuova versione.