Es scheint, dass es eine Welle von gibt iOS und macOS Schwachstellen von Sicherheitsforschern aufgedeckt werden. Der neueste betrifft den automatischen Anrufrekorder, eine iOS-Anrufaufzeichnungsanwendung, die einen Fehler enthielt, der den Zugriff auf die Konversationen der Benutzer ermöglichen könnte. Das einzige, was benötigt wird, um den Fehler auszunutzen, ist die Angabe der richtigen Telefonnummer.
Fehler in der iOS-App für automatische Anrufaufzeichnung
Die Sicherheitslücke wurde vom Sicherheitsforscher Anand Prakash gemeldet, und ist bereits behoben. Die App selbst ist bei iPhone-Nutzern sehr beliebt, und es ist bei der Nummer eingestuft 15 in der Business-Kategorie des Apple Store. Seine Popularität und seine weit verbreitete Verwendung machen die Auswirkungen des Fehlers erheblich.
Wie wurde der Fehler von Automatic Call Recorder entdeckt??
Die KI-Bedrohungsinformationen von Prakash und PingSafe haben die Sicherheitsanfälligkeit entdeckt, während Open-Source-Informationen für mobile Apps in verschiedenen Kategorien ausgeführt wurden. “PingSafe AI dekompilierte die IPA-Datei und fand S3-Buckets heraus, Hostnamen und andere vertrauliche Details, die von der Anwendung verwendet werden,” Der Bericht sagt.
Was hat die Sicherheitsanfälligkeit ermöglicht??
Der Fehler könnte es Bedrohungsakteuren ermöglichen, die Anrufaufzeichnungen der Benutzer aus dem Cloud-Speicherbereich der App zu belauschen. Ein nicht authentifizierter API-Endpunkt hat die Cloud-Speicher-URL verloren.
In technischer Hinsicht, Der Fehler lag in der “/fetch-sinch-recordings.php” API-Endpunkt des “Automatischer Anrufrekorder” Anwendung. "Ein Angreifer kann die Nummer eines anderen Benutzers in der Aufzeichnungsanforderung übergeben, und die API antwortet ohne Authentifizierung mit der Aufzeichnungs-URL des Speicherbereichs. Außerdem werden die gesamte Anrufliste des Opfers und die Nummern, unter denen Anrufe getätigt wurden, verloren gehen,”Erklärt der Bericht.
Noch vor wenigen Tagen, Wir haben das Vorhandensein einer neuen Sicherheitsanfälligkeit für iOS gemeldet, Mac OS, watchOS, und Safari Browser: CVE-2021-1844. Die Sicherheitslücke wurde von zwei Forschern entdeckt: Clément Lecigne von der Threat Analysis Group von Google und Alison Huffman von Microsoft Browser Vulnerability Research. Ausgelöst durch ein Speicherbeschädigungsproblem, Der Fehler kann zu einer willkürlichen Codeausführung führen, während speziell gestaltete Webinhalte verarbeitet werden. Das Problem wurde mit einer verbesserten Validierung behoben.
Sie können auch unsere Übersicht über lesen Apples Datenschutz bisher in 2021.