流行的iPhone通话录音应用程序使录音在网络上不安全

安全研究人员已经确定了一个iPhone应用程序，该应用程序允许恶意威胁行为者侦听用户的私人通话记录，从而可能泄露敏感信息。

PingSafe AI的Anand Prakash在名为“自动呼叫记录器”的免费应用程序中发现了此漏洞，该应用程序在iPhone的App Store中免费提供。

据PingSafe称，该应用程序是iPhone用户的热门选择，在全球App Store的业务类别下载列表中排名第15位。

但是，该应用程序的API中存在一个重大漏洞，攻击者可以利用该漏洞在录制请求中添加其他用户的号码。然后，API为存储桶链接提供不需要身份验证的信息，并且还提供用户的呼叫历史记录。

PingSafe会反编译IPA文件，并确定相关的S3存储桶，主机名以及应用程序使用的敏感详细信息。

该公司指出：“该漏洞允许任何恶意参与者从应用程序的云存储桶和未经身份验证的API端点监听任何用户的通话记录，该API端点泄漏了受害者数据的云存储URL。”

在PingSafe和TechCrunch的Zach Whittaker的帮助下，Anand Prakash进行了负责任的披露，并将漏洞提交给了应用程序开发人员。此后，名为Arun Nair的开发人员已修补了该漏洞，并且可以在App Store上找到新版本。

“这样的安全问题本质上是灾难性的。除了影响客户的隐私外，这些还削弱了公司的形象，并为竞争对手提供了更多优势。” PingSafe评论道。

自动呼叫记录器应用程序的用户应确保立即更新其应用程序，否则他们可能会面临潜在的安全威胁-尤其是因为PingSafe发布了在其博客中重现该漏洞的确切步骤。

ESET网络安全专家杰克·摩尔（Jake Moore）说：“在确保您已从官方应用商店下载了一个应用之后，您必须假定该应用已受到保护并且不受标准漏洞和隐私的影响。”

“但是，如果未正确测试应用程序，则数据可能会泄漏，从而导致隐私和数据泄露问题。如果用户在涉及财务数据的此类呼叫中泄露了敏感信息，则最好考虑更改任何易于更改的细节。”

PingSafe指出，它使用“最先进的智能风险评估引擎，通过评估所有域，IP，移动应用程序，源代码和泄露的凭证，全面监视公司的安全状况”。