安全研究员发现了一个 iPhone 上的应用程序,该应用程序可以被攻击者利用监控用户的通话记录,从而泄露敏感信息。
PingSafe AI 公司的 Anand Prakash 在名为 Automatic call recorder
的免费应用程序中发现了漏洞,该应用程序在 App Store 上可以免费下载使用。
PingSafe 表示,该应用程序是很多 iPhone 用户的选择,在 App Store 全球下载榜单对应类别中排名第 15 位。该应用程序的 API 中存在一个重大漏洞,攻击者可以利用该漏洞在构建请求时添加其他用户的号码。同时,API 请求的存储桶也不需要验证用户身份就可以提供用户的呼叫历史记录。
PingSafe 通过反编译 IPA 文件,确定了与之相关的 S3 存储桶、主机名以及应用程序使用的敏感详细信息。该公司指出:“该漏洞允许任何攻击者通过未有身份验证的 API 从应用程序的云存储桶拉取任何用户的通话记录”。
Anand Prakash 进行了负责任的漏洞披露,并将漏洞提交给了应用程序开发人员。此后,相关开发人员已修补了该漏洞,并且在 App Store 上提交了新版本的应用程序。
PingSafe 对此表示:这种安全问题是灾难性的,不仅泄露的用户的隐私,也削弱了公司的良好形象。
使用该应用程序的用户应该立刻进行版本更新,否则面临潜在的安全隐患。由于厂商已经完成修复,PingSafe 已经在博客中发布了复现该漏洞的具体细节。
PingSafe 指出,它会使用“最先进的智能风险评估引擎,通过评估所有域名、IP、应用程序、源代码和泄露的凭证,全面监视公司的安全状况”。
参考来源
来源:freebuf.com 2021-03-20 00:05:20 by: Avenger
请登录后发表评论
注册