

セキュリティ研究者であり、PingSafe AIの創設者でもあるアナンド・プラカシュ氏は、人気のiPhoneアプリ「自動通話録音」に脆弱性を発見しました。このバグにより、電話番号さえ分かれば誰でも他のユーザーの通話録音にアクセス可能になりました。
TechCrunchの報道によると、このセキュリティ脆弱性により、数千件のユーザーの会話の録音が流出しました。Prakash氏はBurp Suiteなどのプロキシツールを使用することで、アプリに出入りするネットワークトラフィックを閲覧・変更することができました。
つまり、アプリに登録した自分の電話番号を別のアプリユーザーの電話番号に置き換え、自分の携帯電話でその人の録音にアクセスできることになる。
TechCrunchはプラカッシュ氏の発見を検証できると述べ、開発者がバグを修正するまで記事の公開を待った。
このアプリは、ユーザーの通話録音をAmazon Web Servicesでホストされているクラウドストレージバケットに保存します。バケットは公開されており、バケット内のファイルもリストされていましたが、ファイルにアクセスしたりダウンロードしたりすることはできませんでした。このバケットは記事執筆時点で閉鎖されました。
3月6日、「自動通話録音」アプリの開発者はセキュリティアップデートをリリースしましたが、修正前に13万件以上の音声録音が誰でもアクセス可能だったと報告されています。開発者ページによると、このアプリはApp Storeで100万回以上ダウンロードされています。開発者は、このアプリは「App Storeで入手できる通話録音アプリの中で最も使いやすいかもしれない」と宣伝しています。
開発者はTechCrunchチームからの数回のコメント要請に応じなかったが、繰り返しになるが、現時点ではバグは修正されている。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。