O aplicativo Automatic Call Recorder
, um dos mais populares para usuários de dispositivos iOS
, trazia uma falha bastante perigosa, que expôs a segurança de milhares de seus usuários. O app, cuja função é a de gravar chamadas telefônicas para consultas posteriores, permitia que qualquer pessoa pudesse acessar qualquer gravação, desde que um pequeno truque técnico fosse aplicado.
A falha foi descoberta pelo pesquisador Anand Prakash, da PingSafe, e basicamente consiste em usar uma ferramenta para mudança de proxy, alterando o tráfego de entrada e saída dos dados armazenados em um determinado aparelho. De forma resumida: um agente externo poderia mudar o número de telefone da vítima por um de sua escolha, recebendo assim a gravação em nome dela.
Segundo verificação do bug, feita pelo TechCrunch , tudo indica que a falha tem sua origem em uma má configuração dos servidores da equipe de desenvolvimento do aplicativo . “Essa vulnerabilidade existia no endpoint ‘/fetch-sinch-recordings.php’ da API do aplicativo”, disse Prakash em sua documentação. “Um hacker poderia passar o número de outro usuário no pedido de registro das gravações e a API responderia com a URL dela no sistema de armazenamento, sem nenhum tipo de autenticação. O ataque também vazaria todo o histórico de chamadas da vítima e os números para os quais ela ligou ou recebeu chamadas”.
Servidor exposto
Basicamente, o servidor do app permitia que o número de destino da gravação fosse alterado manualmente, oferecendo um link para download do arquivo no lugar da vítima.
O perigo, evidentemente, está na parte da “autenticação”: normalmente, processos que envolvam esse tipo de pedido junto a um servidor pedem por alguma identificação, seja usuário e senha, número de telefone ou alguma outra forma de provar que a pessoa a pedir pelo registro é de fato proprietária dele. O Automatic Call Recorder não fazia isso, permitindo que qualquer um se passasse por você, por exemplo.
O sistema de armazenamento (bucket) utilizado era parte de um banco de dados da Amazon Web Services (AWS)
, que continha mais de 300 GB de dados e aproximadamente 130 mil arquivos de áudio. A divulgação da vulnerabilidade foi feita de forma responsável, ou seja, o pesquisador notificou a empresa primeiro e só veio a público após ela consertar o problema.