Lỗi bảo mật trên ứng dụng ghi âm cuộc gọi iPhone phổ biến khiến hàng ngàn người dùng có thể bị leak thông tin cá nhân

www.tuoitre.vn -   10/03/2021 12:00:00 944

Một ứng dụng ghi âm cuộc gọi khá phổ biến trên iOS vừa nhận được bản vá nhằm khắc phục một lỗ hổng bảo mật cực kỳ nghiêm trọng, cho phép bất kỳ ai cũng có thể truy cập và nghe lén các cuộc trò chuyện đã ghi âm của người dùng chỉ bằng cách cung cấp số điện thoại chính xác.

Lỗi bảo mật trên ứng dụng ghi âm cuộc gọi iPhone phổ biến khiến hàng ngàn người dùng có thể bị leak thông tin cá nhân

Theo thống kê sơ bộ, đã có hàng nghìn người dùng ứng dụng này vô tình bị ảnh hưởng bởi lỗ hổng nêu trên. Trong khi vẫn chưa có số liệu chính xác về thiệt hại cụ thể.

Ứng dụng này có tên "Automatic call recorder" hoặc "Acr call recorder”, là một công cụ ghi âm cuộc gọi cho iOS khá phổ biến, sở hữu hàng nghìn lượt đánh giá của người dùng trong App Store với xếp hạng trên 4 sao. Đang chú ý, ứng dụng này cũng đã không ít lần được liệt kê trong danh sách những phần mềm ghi âm cuộc gọi hàng đầu cho iPhone trong nhiều năm trở lại đây. Trên trang web của mình, Automatic call recorder tự hào có tới hơn một triệu lượt tải xuống từ người dùng ở hơn 20 quốc gia trên toàn thế giới.

Bằng cách sử dụng các công cụ tình báo bảo mật nguồn mở, nhà nghiên cứu an ninh mạng Anand Prakash, người sáng lập tổ chức PingSafe AI, đã tìm thấy kho lưu trữ đám mây của Automatic call recorder trên Amazon. Cùng với đó là tên máy chủ và một số dữ liệu nhạy cảm mà nó đã sử dụng.

Đi sâu vào phân tích, Anand Prakash đã phát hiện ra rằng chỉ cần sử dụng kỹ thuật chuyển lưu lượng mạng của ứng dụng thông qua một công cụ proxy web như Burp hoặc Zap tương đối đơn giản, kẻ tấn công hoàn toàn có thể chèn số điện thoại của bất kỳ người dùng Automatic call recorder nào vào yêu cầu ghi âm cuộc gọi.

“Vì API phản hồi không chạy bất kỳ xác thực nào nên nó sẽ trả về các bản ghi được liên kết với số điện thoại được chuyển trong yêu cầu. Thậm chí, nó còn có thể làm rò rỉ toàn bộ nhật ký cuộc gọi của người dùng ứng dụng này”, ông Prakash cho biết.

Cũng theo Prakash, bộ lưu trữ của ứng dụng trên Amazon chứa hơn 130.000 bản ghi âm cuộc gọi bị rò rỉ, với dung lượng khoảng 300 gigabyte.

Prakash đã làm việc với TechCrunch về việc tiết lộ lỗ hổng bảo mật trên. Phía TechCrunch sau đó đã trực tiếp liên hệ với các nhà phát triển ứng dụng Automatic call recorder để có thể nhanh chóng giải quyết vấn đề. Hiện tại, bản vá khắc phục lỗ hổng này cũng đã được phát hành.

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 516
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.107
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 982
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 91
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 916
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 103
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ