PingSafe AI のセキュリティ研究者 Anand Prakash は、すべての iOS ファンに重要なメッセージを伝えています。iPhoneアプリのCall Recorder は安全ではありません。このアプリケーションはユーザーに非常に人気があり、App Store では 2,000 件を超えるレビューがあり、平均評価は 5 つ星中 4.2です。しかし、Prakash 氏は、ユーザーにとって致命的となる可能性のあるセキュリティ上の欠陥を指摘しています。
iPhoneアプリ「コールレコーダー」で漏洩の可能性が判明
Call Recorder は、アマゾン ウェブ サービス (AWS) を使用して録音を保存する人気の iOS 通話録音アプリです。プログラミングミスにより、大量の録音が権限のない者にアクセス可能になったと言われています。これはセキュリティ研究者のアナンド・プラカシュ氏が主張していることだ。 Burp Suite プロキシ ツールを使用することで、Call Recorder のトラフィックがどのように流れるかを示すことができました。
Anand Prakash さんはセルフテストを通じて、電話番号を交換して Call Recorder のクラウド バックエンドに送信することが非常に簡単であることを証明することができました。その後、彼はその電話番号を使用して、AWS に保存されている関係者のすべての録音にアクセスすることができました。これを行うために、彼は認証を要求されず、iPhone アプリの Call Recorder を盲目的に信頼していたようです。
詐欺師たちは楽しんでいた
誰かがこのセキュリティ ホールを悪用した場合、最大 300 ギガバイトのデータまたは 130,000 件以上の録画にアクセスできた可能性があります。 Prakash氏はITブログTechCrunch に語った。同僚たちはこれをすぐに確認し、テスト用の iPhone でプラカシュ氏の観察を証明することができました。
Anand Prakash 氏は、iPhone アプリ Call Recorder の開発者に警告しました。その後、AWS バケットをブロックしました。 Call Recorder の新しいバージョンがダウンロードできるようになりました。今回は、セキュリティの脆弱性に対するパッチが搭載されています。
最近、別のiPhoneアプリも突然廃止されました。これは顧客にいくつかの影響を及ぼしました。このような現象にもかかわらず、 ユーザーは依然として iPhone アプリに多額のお金を支払うことをいとわないのです。