Parece que há uma onda de iOS e vulnerabilidades do macOS sendo descoberto por pesquisadores de segurança. O mais recente diz respeito ao gravador automático de chamadas, um aplicativo de gravação de chamadas iOS que continha um bug que poderia dar acesso às conversas dos usuários. A única coisa necessária para explorar o bug é fornecer o número de telefone correto.
Bug no aplicativo gravador automático de chamadas para iOS
A vulnerabilidade foi relatada pelo pesquisador de segurança Anand Prakash, e já está consertado. O aplicativo em si é bastante popular entre os usuários do iPhone, e é classificado em número 15 na categoria de negócios da loja da Apple. Sua popularidade e uso generalizado tornam o impacto do bug significativo.
Como o bug do gravador automático de chamadas foi descoberto?
A inteligência de ameaças AI de Prakash e PingSafe descobriram a vulnerabilidade ao executar inteligência de código aberto em aplicativos móveis em várias categorias. “PingSafe AI descompilou o arquivo IPA e descobriu os depósitos S3, nomes de host e outros detalhes confidenciais usados pelo aplicativo,” diz o relatório.
O que a vulnerabilidade permitiu?
O bug pode permitir que os agentes da ameaça espionem as gravações das chamadas dos usuários a partir do intervalo de armazenamento em nuvem do aplicativo. Um endpoint de API não autenticado vazou o URL de armazenamento em nuvem.
Em termos técnicos, a falha residia no “/fetch-sinch-recordings.php” Endpoint de API do “Gravador Automático de Chamadas” inscrição. “Um invasor pode passar o número de outro usuário na solicitação de gravações e a API responderá com a url de gravação do intervalo de armazenamento sem qualquer autenticação. Ele também vaza todo o histórico de chamadas da vítima e os números nos quais as chamadas foram feitas,”O relatório explica.
Poucos dias atrás, relatamos a existência de uma nova vulnerabilidade afetando iOS, Mac OS, watchOS, e o navegador Safari: CVE-2021-1844. A vulnerabilidade foi descoberta por dois pesquisadores: Clément Lecigne do Grupo de Análise de Ameaças do Google e Alison Huffman da Pesquisa de Vulnerabilidade do Navegador da Microsoft. Disparado por um problema de corrupção de memória, o bug pode causar a execução arbitrária de código durante o processamento de conteúdo da web especialmente criado. O problema foi corrigido com uma validação aprimorada.
Você também pode ler nossa visão geral de A privacidade da Apple até agora em 2021.