Sembra che ci sia un'ondata di iOS e Vulnerabilità di macOS essere scoperti dai ricercatori di sicurezza. L'ultima riguarda il registratore automatico di chiamate, un'applicazione di registrazione delle chiamate iOS che conteneva un bug che poteva dare accesso alle conversazioni degli utenti. L'unica cosa necessaria per sfruttare il bug è fornire il numero di telefono corretto.
Bug nell'app iOS del registratore automatico di chiamate
La vulnerabilità è stata segnalata dal ricercatore di sicurezza Anand Prakash, ed è già stato risolto. L'app stessa è abbastanza popolare tra gli utenti di iPhone, ed è classificato al numero 15 nella categoria Business dell'Apple Store. La sua popolarità e il suo utilizzo diffuso rendono l'impatto del bug significativo.
Come è stato scoperto il bug di Automatic Call Recorder?
L'intelligence sulle minacce AI di Prakash e PingSafe ha scoperto la vulnerabilità durante l'esecuzione di intelligence open source su app mobili in varie categorie. “PingSafe AI ha decompilato il file IPA e ha individuato i bucket S3, nomi host e altri dettagli sensibili utilizzati dall'applicazione,” il rapporto dice.
Che cosa ha permesso la vulnerabilità?
Il bug potrebbe consentire agli autori delle minacce di intercettare le registrazioni delle chiamate degli utenti dal bucket di archiviazione cloud dell'app. Un endpoint API non autenticato ha fatto trapelare l'URL del cloud storage.
In termini tecnici, il difetto risiedeva in “/fetch-sinch-recordings.php” Endpoint API di “Registratore di chiamate automatico” applicazione. "Un utente malintenzionato può passare il numero di un altro utente nella richiesta di registrazione e l'API risponderà con l'URL di registrazione del bucket di archiviazione senza alcuna autenticazione. Inoltre fa trapelare l'intera cronologia delle chiamate della vittima e i numeri su cui sono state effettuate le chiamate,"Spiega il rapporto.
Proprio pochi giorni fa, abbiamo segnalato l'esistenza di una nuova vulnerabilità che interessa iOS, Mac OS, watchos, e browser Safari: CVE-2021-1844. La vulnerabilità è stata scoperta da due ricercatori: Clément Lecigne del Threat Analysis Group di Google e Alison Huffman del Microsoft Browser Vulnerability Research. Attivato da un problema di danneggiamento della memoria, il bug potrebbe causare l'esecuzione di codice arbitrario durante l'elaborazione di contenuti web appositamente predisposti. Il problema è stato risolto con una migliore convalida.
Puoi anche leggere la nostra panoramica di La privacy di Apple fino ad ora 2021.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: