Korzystałeś z tej aplikacji? Twoje rozmowy mógł usłyszeć każdy

Jedna z najpopularniejszych aplikacji służących do nagrywania rozmów, Automatic call recorder, posiadała lukę pozwalającą na odsłuchanie nagrania rozmów dowolnego użytkownika. Nagrania przechowywane były w chmurze aplikacji. Jak możemy się dowiedzieć ze strony PingSafe AI, dostępna na iPhone'y aplikacja jest obecnie jedną z najpopularniejszych aplikacji biznesowych w App Store.

Automatic call recorder (po aktualizacji – Acr call recorder) jest aplikacją pozwalającą użytkownikom nagrywać rozmowy. Twórcy programu reklamują go jako najłatwiejszy w obsłudze rejestrator rozmów, który można znaleźć w App Store. Są oni przekonani, że udało im się tworzyć aplikację, która jest bardzo łatwy w obsłudze. Z jej pomocy można nagrywać zarówno przychodzące jak i wychodzące połączenia, nawet jeżeli nie ma się obecnie dostępu do Internetu.

Krytyczną lukę bezpieczeństwa udało się odnaleźć dzięki CEO Anand Prakash z zespołu PingSafe AI dzięki czemu została ona już naprawiona. Zgodnie z informacjami, jakie zostały podane na stronie grupy, luka istniała w końcówce API „/fetch-sinch-recordings.php” aplikacji. Z jej pomocą można było przekazać numer dowolnego użytkownika wysyłając żądanie zwrócenia nagrań do API. To zaś w odpowiedzi podawało link do zbioru nagrań i nie oczekiwało żadnego uwierzytelnienia od wysyłającego żądanie.

Problem z zabezpieczeniami aplikacji został wykryty już 27-go lutego. W ciągu kilku dni udało się ją naprawić i 6 marca w App Store pojawiła się nowa, zaaktualizowana wersja która pozwala już użytkownikom na bezpieczne nagrywanie rozmów.