Ананд Пракаш использовал общедоступную платформу Burp Suite для выполнения тестов по безопасности веб-приложений. С её помощью он мог просматривать и изменять трафик, идущий в обоих направлениях. Проще говоря, он мог поменять свой номер телефона, зарегистрированный в приложении, на номер телефона другого пользователя и получить доступ к его записям разговоров.
Эту уязвимость подтвердили журналисты издания TechCrunch, которые проверили схему Пракаша. Приложение Call Recorder для iOS хранит записи разговоров своих пользователей в облачном хранилище на Amazon Web Services. Несмотря на то, что доступ к списку файлов был публичным, аудиозаписи нельзя было открыть или загрузить. На момент написания заметки в облаке хранилось более 130 тыс. записей телефонных разговоров общим объёмом около 300 ГБ.
Издание TechCrunch связалось с разработчиком приложения и не придавало эту историю огласке до тех пор, пока проблема не была устранена. В примечании к новой версии Call Recorder говорится, что обновление приложения содержит «исправление отчёта безопасности».
Материалы по теме:
- История iPhone: чем больше всего запомнились и как они менялись из года в год
Почему техника Apple такая дорогая: 3 принципа ценовой политики компании
Не iPhone 7s, а iPhone 8: что значила буква «S» и почему Apple отказалась от неё в названиях
Какой iPhone купить на 2021 год, а какие модели брать не стоит
Почему гаджеты Apple настолько дорогие: 8 очевидных и не очень причин
Источник: