安全公司PingSafe AI可以实时监控多个漏洞,已发现iPhone自动呼叫记录器应用程序中的一个严重漏洞,该漏洞暴露了成千上万个用户的已记录呼叫。
PingSafe通过评估组织域,IP,移动应用程序,泄漏的凭证和源代码的安全状况来进行工作。由安全研究员和PingSafe AI CEO Anand Prakash通过开源情报发现中国机械网okmao.com。
并由TechCrunch安全编辑Zack Whittaker验证了此漏洞使潜在的攻击者可以使用应用程序的云存储桶和未经身份验证的API端点监听任何呼叫。
从而泄漏了受害者的云存储URL。实际上,PingSafe AI发现该应用程序的IPA文件甚至使用了主机名,S3存储桶和其他敏感用户数据。
恶意行为者可以通过在录制请求中替换另一个用户的号码来利用此漏洞,从而提示API使用存储桶的录制URL进行响应而无需任何身份验证。攻击者只需要受害者的电话号码即可。此外,该应用程序还显示受害者的整个通话记录以及拨打电话的号码。
Prakash使用应用程序漏洞测试程序Burp Suite / ZAP成功发现了此漏洞,该程序向他显示POST API请求,以使用任何国家/地区代码将受害者的UserID更改为他们的电话号码。此时,攻击者可以观察到受害者的S3 URL以及其他敏感信息。
虽然发现Amazon Web Services云存储服务器处于打开状态,并且内部文件暴露,但无法访问或下载文件。苹果公司及时关闭了存储桶,以使媒体对此漏洞进行报道。
在召回并缓解此错误之后,新的自动呼叫记录器应用程序版本于2021年3月6日发布到App Store。毫无疑问,此类漏洞对用户和企业均构成巨大风险。
在用户方面,客户可以看到大量的数据。另一方面,开发该应用程序的公司可能会遭受声誉损失,并遭受用户和合作伙伴的严重信任损失。
而且,这些漏洞泄漏的数据甚至可以为诸如Apple这样的组织的品牌竞争对手提供优势。