Il semble qu'il y ait une vague de iOS et Vulnérabilités macOS être découvert par des chercheurs en sécurité. Le dernier concerne l'enregistreur automatique d'appels, une application d'enregistrement d'appels iOS qui contenait un bogue pouvant donner accès aux conversations des utilisateurs. La seule chose nécessaire pour exploiter le bogue est de fournir le bon numéro de téléphone.
Bug dans l'application iOS Automatic Call Recorder
La vulnérabilité a été signalée par le chercheur en sécurité Anand Prakash, et est déjà fixé. L'application elle-même est très populaire parmi les utilisateurs d'iPhone, et il est classé au numéro 15 dans la catégorie Entreprise de l'Apple Store. Sa popularité et son utilisation généralisée rendent l’impact du bogue significatif.
Comment le bogue de Automatic Call Recorder a-t-il été découvert?
L'intelligence artificielle de Prakash et de PingSafe sur les menaces a découvert la vulnérabilité lors de la réalisation de renseignements open-source sur des applications mobiles dans diverses catégories. “PingSafe AI a décompilé le fichier IPA et déterminé les compartiments S3, noms d'hôte et autres détails sensibles utilisés par l'application,” le rapport.
Qu'est-ce que la vulnérabilité a permis?
Le bogue pourrait permettre aux acteurs menaçants d'écouter les enregistrements d'appels des utilisateurs à partir du bucket de stockage cloud de l'application. Un point de terminaison d'API non authentifié a divulgué l'URL de stockage dans le cloud.
En termes techniques, le défaut résidait dans le “/fetch-sinch-records.php” Point de terminaison API du “Enregistreur d'appels automatique” application. "Un attaquant peut transmettre le numéro d'un autre utilisateur dans la demande d'enregistrement et l'API répondra avec l'URL d'enregistrement du compartiment de stockage sans aucune authentification.. Il divulgue également l'historique complet des appels de la victime et les numéros sur lesquels les appels ont été effectués.,»Explique le rapport.
Il y a tout juste quelques jours, nous avons signalé l'existence d'une nouvelle vulnérabilité affectant iOS, macOS, watchos, et navigateur Safari: CVE-2021-1844. La vulnérabilité a été découverte par deux chercheurs: Clément Lecigne du groupe d'analyse des menaces de Google et Alison Huffman de Microsoft Browser Vulnerability Research. Déclenché par un problème de corruption de la mémoire, le bogue pourrait provoquer l'exécution de code arbitraire lors du traitement de contenu Web spécialement conçu. Le problème a été résolu avec une validation améliorée.
Vous pouvez également lire notre aperçu de Confidentialité d'Apple jusqu'à présent en 2021.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: