App de iPhone usado para gravar chamadas expôs usuários
Unsplash/Taylor Grote
App de iPhone usado para gravar chamadas expôs usuários

O aplicativo Automatic Call Recorder , um dos mais populares para usuários de dispositivos iOS , trazia uma falha bastante perigosa, que expôs a segurança de milhares de seus usuários. O app, cuja função é a de gravar chamadas telefônicas para consultas posteriores, permitia que qualquer pessoa pudesse acessar qualquer gravação, desde que um pequeno truque técnico fosse aplicado.

A falha foi descoberta pelo pesquisador Anand Prakash, da PingSafe, e basicamente consiste em usar uma ferramenta para mudança de proxy, alterando o tráfego de entrada e saída dos dados armazenados em um determinado aparelho. De forma resumida: um agente externo poderia mudar o número de telefone da vítima por um de sua escolha, recebendo assim a gravação em nome dela.

Segundo verificação do bug, feita pelo TechCrunch , tudo indica que a falha tem sua origem em uma má configuração dos servidores da equipe de desenvolvimento do aplicativo . “Essa vulnerabilidade existia no endpoint ‘/fetch-sinch-recordings.php’ da API do aplicativo”, disse Prakash em sua documentação. “Um hacker poderia passar o número de outro usuário no pedido de registro das gravações e a API responderia com a URL dela no sistema de armazenamento, sem nenhum tipo de autenticação. O ataque também vazaria todo o histórico de chamadas da vítima e os números para os quais ela ligou ou recebeu chamadas”.

Você viu?

Servidor exposto

Basicamente, o servidor do app permitia que o número de destino da gravação fosse alterado manualmente, oferecendo um link para download do arquivo no lugar da vítima.

O perigo, evidentemente, está na parte da “autenticação”: normalmente, processos que envolvam esse tipo de pedido junto a um servidor pedem por alguma identificação, seja usuário e senha, número de telefone ou alguma outra forma de provar que a pessoa a pedir pelo registro é de fato proprietária dele. O Automatic Call Recorder não fazia isso, permitindo que qualquer um se passasse por você, por exemplo.

O sistema de armazenamento (bucket) utilizado era parte de um banco de dados da Amazon Web Services (AWS) , que continha mais de 300 GB de dados e aproximadamente 130 mil arquivos de áudio. A divulgação da vulnerabilidade foi feita de forma responsável, ou seja, o pesquisador notificou a empresa primeiro e só veio a público após ela consertar o problema.

    Veja Também

    Mais Recentes

      Comentários