App di registrazione chiamate Neon chiude dopo che utenti rivelano numeri e registrazioni.
Dettagli della Falla di Sicurezza
Il problema di sicurezza deriva dal fatto che i server di Neon non impedivano a nessun utente registrato di accedere ai dati di un altro utente. TechCrunch ha creato un nuovo account su un iPhone dedicato e ha verificato un numero di telefono come parte del processo di registrazione. Utilizzando uno strumento di analisi del traffico di rete, Burp Suite, è stato possibile esaminare i dati in entrata e in uscita dall’app, rivelando informazioni tecniche sulla sua funzionalità.
Dopo aver effettuato alcune chiamate di prova, l’app ha mostrato un elenco delle nostre chiamate recenti e il guadagno associato a ciascuna di esse. Tuttavia, lo strumento di analisi ha svelato dettagli che non erano visibili agli utenti normali dell’app. Tra queste informazioni c’era il trascrizione testuale della chiamata e un indirizzo web per accedere ai file audio, accessibili pubblicamente da chiunque possedesse il link.
Ad esempio, è emerso un trascrizione di una chiamata di prova tra due reporter di TechCrunch, confermando che la registrazione funzionava correttamente.
Accesso Indebito ai Dati degli Utenti
In un caso specifico, TechCrunch ha scoperto che i server di Neon erano in grado di generare dati sulle chiamate più recenti effettuate dagli utenti, includendo link pubblici ai file audio e alle trascrizioni delle conversazioni. Questo metadato conteneva il numero di telefono dell’utente, il numero di telefono della persona contattata, l’orario della chiamata, la sua durata e il guadagno associato.
La revisione di alcune trascrizioni e file audio ha suggerito che alcuni utenti potrebbero utilizzare l’app per effettuare chiamate lunghe che registrano in modo clandestino conversazioni reali, al fine di generare profitto tramite l’app.
About The Author
