の波があるようです iOS と macOSの脆弱性 セキュリティ研究者によって発見されている. 最新のものは自動コールレコーダーに関するものです, ユーザーの会話にアクセスできるバグを含むiOS通話録音アプリケーション. バグを悪用するために必要なのは、正しい電話番号を提供することだけです。.
自動コールレコーダーiOSアプリのバグ
この脆弱性は、セキュリティ研究者のAnandPrakashによって報告されました, すでに修正されています. アプリ自体はiPhoneユーザーの間で非常に人気があります, そしてそれは数でランク付けされます 15 アップルストアのビジネスカテゴリ. その人気と広範な使用により、バグの影響が大きくなります.
自動コールレコーダーのバグはどのようにして発見されましたか?
PrakashとPingSafeのAI脅威インテリジェンスは、さまざまなカテゴリのモバイルアプリ全体でオープンソースインテリジェンスを実行しているときに脆弱性を発見しました. “PingSafe AIはIPAファイルを逆コンパイルし、S3バケットを把握しました, アプリケーションで使用されるホスト名およびその他の機密情報,” レポートによると.
脆弱性は何を可能にしましたか?
このバグにより、脅威アクターがアプリのクラウドストレージバケットからユーザーの通話録音を盗聴できるようになる可能性があります. 認証されていないAPIエンドポイントがクラウドストレージのURLをリークしました.
技術用語で, 欠陥はにありました “/fetch-sinch-recordings.php” のAPIエンドポイント “自動コールレコーダー” 応用. 「攻撃者は記録リクエストで別のユーザーの番号を渡すことができ、APIは認証なしでストレージバケットの記録URLで応答します. また、被害者の通話履歴全体と通話が行われた番号が漏洩します,」レポートは説明します.
ほんの数日前, iOSに影響を与える新しい脆弱性の存在を報告しました, マックOS, watchOS, およびSafariブラウザ: CVE-2021-1844. この脆弱性は2人の研究者によって発見されました: Googleの脅威分析グループのClémentLecigneとMicrosoftBrowserVulnerabilityResearchのAlisonHuffman. メモリ破損の問題によってトリガーされます, このバグにより、特別に細工されたWebコンテンツの処理中に任意のコードが実行される可能性があります. この問題は、検証が改善されて修正されました.
また、の概要を読むことができます これまでのAppleのプライバシー 2021.