返回顶部
今日    | 手机版 | 资讯 | 产品 | 企业 | 热点 | 商道 | 原料 |
返回首页
返回首页
home 您现在的位置: 首页 >办公设备>产品资讯 > 详细信息
Bug赏金公司PingSafe AI发现iPhone通话记录应用程序漏洞
2021年04月25日    阅读量:2511     新闻来源:中国机械网 okmao.com    |  投稿

安全公司PingSafe AI可以实时监控多个漏洞,已发现iPhone自动呼叫记录器应用程序中的一个严重漏洞,该漏洞暴露了成千上万个用户的已记录呼叫。


Bug赏金公司PingSafe AI发现iPhone通话记录应用程序漏洞 中国机械网,okmao.com


PingSafe通过评估组织域,IP,移动应用程序,泄漏的凭证和源代码的安全状况来进行工作。由安全研究员和PingSafe AI CEO Anand Prakash通过开源情报发现中国机械网okmao.com


并由TechCrunch安全编辑Zack Whittaker验证了此漏洞使潜在的攻击者可以使用应用程序的云存储桶和未经身份验证的API端点监听任何呼叫。


从而泄漏了受害者的云存储URL。实际上,PingSafe AI发现该应用程序的IPA文件甚至使用了主机名,S3存储桶和其他敏感用户数据。


恶意行为者可以通过在录制请求中替换另一个用户的号码来利用此漏洞,从而提示API使用存储桶的录制URL进行响应而无需任何身份验证。攻击者只需要受害者的电话号码即可。此外,该应用程序还显示受害者的整个通话记录以及拨打电话的号码。


Prakash使用应用程序漏洞测试程序Burp Suite / ZAP成功发现了此漏洞,该程序向他显示POST API请求,以使用任何国家/地区代码将受害者的UserID更改为他们的电话号码。此时,攻击者可以观察到受害者的S3 URL以及其他敏感信息。


虽然发现Amazon Web Services云存储服务器处于打开状态,并且内部文件暴露,但无法访问或下载文件。苹果公司及时关闭了存储桶,以使媒体对此漏洞进行报道。


在召回并缓解此错误之后,新的自动呼叫记录器应用程序版本于2021年3月6日发布到App Store。毫无疑问,此类漏洞对用户和企业均构成巨大风险。


在用户方面,客户可以看到大量的数据。另一方面,开发该应用程序的公司可能会遭受声誉损失,并遭受用户和合作伙伴的严重信任损失。


而且,这些漏洞泄漏的数据甚至可以为诸如Apple这样的组织的品牌竞争对手提供优势。


标签:企业聚焦行业资讯原料动态今日头条产品资讯高端访谈机械应用市场评论技术中心设备与仪器办公设备
免责声明: 本文仅代表作者本人观点,与本网无关。本网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。本网转载自其它媒体的信息,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如因作品内容、版权和其它问题需要同本网联系的,请在一周内进行,以便我们及时处理。客服邮箱:service@cnso360.com | 客服QQ:23341571

全站地图

深圳网络警察报警平台 深圳网络警
察报警平台

公共信息安全网络监察 公共信息安
全网络监察

经营性网站备案信息 经营性网站
备案信息

中国互联网举报中心 中国互联网
举报中心

中国文明网传播文明 中国文明网
传播文明

深圳市市场监督管理局企业主体身份公示 工商网监
电子标识