Une faille de sécurité dans une application appelée « Call Recorder » a exposé des milliers de conversations de clients, de rapports TechCrunch . La vulnérabilité a été découverte par Anand Prakesh, chercheur chez PingSafe AI, et a depuis été corrigée.
Les Application enregistreur d'appels est conçu pour permettre iPhone aux utilisateurs d'enregistrer leurs appels téléphoniques entrants et sortants, ces enregistrements étant stockés dans le cloud sur Amazon Web Services.
À l'aide d'un outil proxy comme Burp Suite, Prakash a pu afficher et modifier le trafic réseau entrant et sortant de l'application, et lors du remplacement de son numéro de téléphone par le numéro de téléphone d'un autre utilisateur de Call Recorder, leurs enregistrements sont devenus disponibles sur son téléphone.
Il y avait plus de 130 000 enregistrements audio disponibles, bien que les fichiers ne puissent pas être consultés ou téléchargés en dehors de l'application. TechCrunch a informé le développeur de la faille de sécurité et celle-ci a été corrigée dans une mise à jour samedi.
Un rapport récent de la société de sécurité mobile Zimperium a suggéré que des milliers d'applications iOS qui utilisent des services de cloud public comme Amazon Web Services, Google Cloud et Microsoft Azure avoir des configurations incorrectes qui risquent d'exposer les données de l'utilisateur.
Il a été découvert que 6 608 applications iOS exposaient les informations personnelles, les mots de passe et les informations médicales des utilisateurs. Le PDG de Zimperium, Shridhar Mittal, a déclaré que les mauvaises configurations de stockage dans le cloud sont une 'tendance inquiétante'.
« Beaucoup de ces applications ont un stockage en nuage qui n'a pas été configuré correctement par le développeur ou la personne qui a configuré les choses et, à cause de cela, les données sont visibles par à peu près n'importe qui. Et la plupart d'entre nous ont certaines de ces applications en ce moment », a-t-il déclaré.
Aucune application n'a été nommée dans le rapport en raison des vulnérabilités impliquées, mais certaines étaient des applications majeures, notamment un portefeuille mobile d'une entreprise Fortune 500 et une application de transport d'une grande ville.
Mots clés : App Store, AWS
Articles Populaires