Parece que hay una ola de iOS y vulnerabilidades de macOS siendo descubierto por investigadores de seguridad. El último se refiere a la grabadora automática de llamadas, una aplicación de grabación de llamadas de iOS que contenía un error que podía dar acceso a las conversaciones de los usuarios. Lo único que se necesita para aprovechar el error es proporcionar el número de teléfono correcto..
Error en la aplicación iOS Automatic Call Recorder
La vulnerabilidad fue reportada por el investigador de seguridad Anand Prakash., y ya esta arreglado. La aplicación en sí es bastante popular entre los usuarios de iPhone., y está clasificado en el número 15 en la categoría Business de la tienda Apple. Su popularidad y uso generalizado hacen que el impacto del error sea significativo.
¿Cómo se descubrió el error de Automatic Call Recorder??
La inteligencia de amenazas de IA de Prakash y PingSafe descubrió la vulnerabilidad mientras realizaba inteligencia de código abierto en aplicaciones móviles en varias categorías. “PingSafe AI descompiló el archivo IPA y descubrió los depósitos de S3, nombres de host y otros detalles confidenciales utilizados por la aplicación,” el informe dice.
¿Qué permitió la vulnerabilidad??
El error podría permitir a los actores de amenazas espiar las grabaciones de llamadas de los usuarios desde el depósito de almacenamiento en la nube de la aplicación.. Un punto final de API no autenticado filtró la URL de almacenamiento en la nube.
En términos técnicos, el defecto residía en el “/fetch-sinch-recordings.php” Punto final de API del “Grabador de llamadas automático” aplicación. "Un atacante puede pasar el número de otro usuario en la solicitud de grabaciones y la API responderá con la URL de grabación del depósito de almacenamiento sin ninguna autenticación.. También filtra todo el historial de llamadas de la víctima y los números en los que se realizaron las llamadas.,”Explica el informe.
Hace sólo unos días, informamos de la existencia de una nueva vulnerabilidad que afecta a iOS, Mac OS, watchos, y navegador Safari: CVE-2021-1844. La vulnerabilidad fue descubierta por dos investigadores.: Clément Lecigne del grupo de análisis de amenazas de Google y Alison Huffman de Microsoft Browser Vulnerability Research. Activado por un problema de corrupción de la memoria, el error podría causar la ejecución de código arbitrario al procesar contenido web especialmente diseñado. El problema se solucionó mejorando la validación..
También puede leer nuestra descripción general de La privacidad de Apple hasta ahora en 2021.