Un fallo en una popular Call Recorder aplicación de iPhone expuso miles de grabaciones de llamadas

Last Updated on diciembre 28, 2022 by Daniel Cepeda

El investigador informático indio Anand Prakash, fundador de PingSafe AI, descubrió un problema con la popular aplicación de iOS Call Recorder para grabar llamadas telefónicas.

Según las estadísticas oficiales, más de un millón de personas han descargado ya esta aplicación.

En su blog, el investigador reveló que con sólo conocer el número de teléfono del usuario, cualquiera podía acceder a las conversaciones grabadas.

El caso es que el experto encontró el almacenamiento en la nube de la aplicación en AWS, junto con nombres de host y datos sensibles que Call Recorder utilizaba.

Resultó que con Burp Suite, Prakash pudo ver y modificar el tráfico de red entrante y saliente de la aplicación.

Anand Prakash

Hacker de alto rango en Facebook, Uber, Twitter, Salesforce

La vulnerabilidad permitía a cualquier actor malicioso escuchar la grabación de llamadas de cualquier usuario desde el cubo de almacenamiento en la nube de la aplicación y un punto final de la API no autenticado que filtraba la URL de almacenamiento en la nube de los datos de la víctima.

Como la API no realizaba ningún tipo de autenticación, Prakash pudo suplantar su número de teléfono, registrado en la aplicación, con el de cualquier otro usuario y acceder a las grabaciones de las conversaciones de otras personas.

La nueva versión de la aplicación se publicó en la App Store el pasado fin de semana.

Las notas de lanzamiento decían que la actualización de la app era para “parchear un informe de seguridad”.