缺陷是由Aand Prakash,Pingsafe Ai的安全研究员和创始人发现的,允许任何人都知道他们的电话号码来访问其他用户的呼叫记录。
但是使用像Burp Suite这样的易于使用的代理工具,Prakash可以查看和修改进出应用程序的网络流量。这意味着他可以用另一个应用程序用户的电话号码替换为应用程序注册的电话号码,并在手机上访问他们的录音。
该应用程序在托管在Amazon Web服务上托管的云存储桶上存储其用户的呼叫记录。虽然云存储服务器已打开并列出文件,但无法访问或下载文件。桶通过压力机关闭。
在撰写本文时,云存储桶具有超过130,000个音频录制,达到约300千兆字节。该应用程序表示迄今为止已有100万多次下载。
TechCrunch联系了App Developer并举行了这个故事,直到缺陷固定。将在周六提交给Apple的App Store的新版本。发行说明表示,App更新是“修补安全报告”。
尽管对我们的初始电子邮件简要回复了确认安全问题,但App Developer Arun Nair尚未返回几个评论请求。
将提示牢固地发送到信号和WhatsApp到+1 646-755-8849。您还可以使用SecuredRop发送文件或文档。