2021/03/09

App de gravação de chamadas para iPhone deixou gravações expostas

A app Call Recorder permite gravar as chamadas nos iPhones, mas inadvertidamente deixava todas as gravações acessíveis na internet.

É incrível como, ano após ano, com todos os casos de falhas de segurança graves decorrentes de erros básicos, eles continuem a acontecer. Desta vez o caso é referente à app Call Recorder para iOS, uma app de gravação de chamadas, mas que permitia que qualquer pessoa pudesse escutar todas as gravações de qualquer utilizador, bastando saber o seu número de telefone.

As gravações desta app são guardadas na cloud da Amazon, mas desta vez a falha não foi deixarem os ficheiros acessíveis por essa via; o processo acabava por ser ainda mais simples, recorrendo a uma da falhas mais elementares que se possa imaginar: a falta da validação nos acessos. Quando a app faz o pedido para aceder às gravações, envia o número de telefone do utilizador; infelizmente o serviço nada fazia para impedir que um atacante alterasse esse pedido e introduzisse o número de qualquer outro utilizador, ficando com acesso às suas gravações.
O investigador de segurança diz que estavam acessíveis mais de 130 mil gravações, num total de 300GB. Sendo que, depois de reportada a falha, a app foi actualizada, embora os seus responsáveis não tenham feito ainda qualquer anúncio oficial referente a tal flagrante falha de segurança.


Para os que estão curiosos sobre como uma app faz gravações de chamadas num iPhone (que impede o acesso das apps às chamadas), a gravação é feita através do reencaminhamento das chamadas por um número pertencente ao serviço, onde a gravação é efectuada. Apesar das preocupações com a privacidade e questões legais, melhor seria que a Apple permitisse o acesso das apps ao áudio das chamadas (com os devidos pedidos de permissão), para que isto pudesse ser feito de forma oficial, sem necessidade de recorrer a técnicas alternativas deste tipo.

2 comentários:

  1. Mais uma fantática iFeature do iOS...

    ResponderEliminar
    Respostas
    1. Se proibir o acesso ao audio das chamadas no matter what não é uma fantástica feature não sei o que é (pode até ser considerado falta de uma feature mas certamente não um bug. Quanto às falhas a culpa é dos developers não do IOS.

      Eliminar

[pub]