Aplikasi perekaman panggilan iOS menambal kerentanan keamanan yang memberi siapa pun akses ke percakapan ribuan pengguna hanya dengan memberikan nomor telepon yang benar.
Nama aplikasinya adalah “Automatic call recorder” atau “Acr call recorder” dan memiliki ribuan ulasan pengguna di App Store dengan peringkat di atas 4 bintang; itu juga telah terdaftar di antara aplikasi perekaman panggilan teratas untuk iPhone.
Menggunakan kecerdasan sumber terbuka, peneliti keamanan Anand Prakash, pendiri PingSafe AI, menemukan penyimpanan cloud aplikasi di Amazon bersama dengan nama host dan beberapa data sensitif yang digunakannya.
Dengan meneruskan lalu lintas jaringan aplikasi melalui alat web proxy seperti Burp atau Zap, penyerang dapat memasukkan nomor telepon pengguna aplikasi mana pun dalam permintaan rekaman.
Karena API yang merespons tidak menjalankan otentikasi apa pun, itu mengembalikan rekaman yang terkait dengan nomor telepon yang diteruskan dalam permintaan. Terlebih lagi, aplikasi itu juga membocorkan seluruh riwayat panggilan pengguna tersebut, kata Prakash.
Zack Whittaker dari outlet media menghubungi pengembang aplikasi, yang merilis versi baru dengan perbaikan tersebut.
Menurut Whittaker, penyimpanan aplikasi di Amazon berisi lebih dari 130.000 rekaman dengan berat sekitar 300 gigabyte.
Sumber: Bleeping Computer