Het lijkt erop dat er een golf van is iOS en macOS-kwetsbaarheden ontdekt worden door beveiligingsonderzoekers. De laatste betreft Automatic Call Recorder, een iOS-applicatie voor het opnemen van oproepen die een bug bevatte die toegang zou kunnen geven tot de gesprekken van gebruikers. Het enige dat nodig is om de bug te misbruiken, is het juiste telefoonnummer opgeven.
Bug in iOS-app voor automatische oproeprecorder
De kwetsbaarheid is gemeld door beveiligingsonderzoeker Anand Prakash, en is al opgelost. De app zelf is behoorlijk populair onder iPhone-gebruikers, en het is gerangschikt op nummer 15 in de categorie Zakelijk van de Apple Store. Zijn populariteit en wijdverbreid gebruik maken de impact van de bug aanzienlijk.
Hoe is de bug van Automatic Call Recorder ontdekt??
De AI-dreigingsinformatie van Prakash en PingSafe ontdekte de kwetsbaarheid tijdens het uitvoeren van open-sourceinformatie voor mobiele apps in verschillende categorieën. “PingSafe AI decompileerde het IPA-bestand en bedacht S3-buckets, hostnamen en andere gevoelige details die door de applicatie worden gebruikt,” in het verslag staat.
Wat maakte de kwetsbaarheid mogelijk?
Door de bug kunnen bedreigingsactoren de oproepopnames van gebruikers afluisteren vanuit de cloudopslagbucket van de app. Een niet-geverifieerd API-eindpunt heeft de cloudopslag-URL gelekt.
In technische termen, de fout zat in de “/fetch-sinch-recordings.php” API-eindpunt van het “Automatische oproeprecorder” toepassing. "Een aanvaller kan het nummer van een andere gebruiker doorgeven in het opnameverzoek en de API reageert met de opname-URL van de opslagbucket zonder enige authenticatie. Het lekt ook de volledige belgeschiedenis van het slachtoffer en de nummers waarop is gebeld,”Legt het rapport uit.
Een paar dagen geleden, we meldden het bestaan van een nieuwe kwetsbaarheid met betrekking tot iOS, MacOS, watchos, en Safari-browser: CVE-2021-1844. De kwetsbaarheid is ontdekt door twee onderzoekers: Clément Lecigne van de Threat Analysis Group van Google en Alison Huffman van Microsoft Browser Vulnerability Research. Getriggerd door een probleem met geheugenbeschadiging, de bug kan het uitvoeren van willekeurige code veroorzaken tijdens het verwerken van speciaal vervaardigde webinhoud. Het probleem is verholpen door een verbeterde validatie.
Lees ook ons overzicht van De privacy van Apple tot nu toe 2021.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: