尽管之前有传言称,苹果公司(Apple)正在考虑在iOS 14增加内置通话录音功能,但最后还是没有;虽然如此,仍然有许多第三方应用程序能为你提供通话录音功能,其中一款就是名字简单明了的应用程序:Call Recorder。
根据官网指出,Call Recorder是20多个国家的“前20大商业应用程序”,它在App Store的下载量超过100万。
这也是有充分理由的,Call Recorder应用程序可以让你录制通话、编辑录音,甚至将录制内容上传至云端存储服务,例如Dropbox、Google Drive和Onedrive;不过,安全研究公司PingSafe AI创办人普拉卡什(Prakash)发现该应用程序出现安全漏洞。他在PingSafe AI的部落格分享调查结果,并解释“我们可以听到任何人的通话记录。”
发生什么事?
基本上,研究人员发现,该应用程序中的错误,可能使任何人都可以收听其他用户的通话记录,只需知道他们的电话号码和一些技术知识即可。
该应用程序需要电话号码才能注册,普拉卡什使用代理工具查看和修改输入/输出该应用程序的网络流量;然后,他设法将自己的电话号码换成另一名用户的号码,他便能在自己的手机听到另一位用户的通话记录。
根据PingSafe AI的报告,Tech Crunch的团队发现超过13万个录音,容量大约300GB,这些录音之前已保存在Call Recorder的云端储存服务器,并且很容易受到任何潜在攻击者的攻击。
“阿南(Anand)在PingSafe AI的威胁情报产品的帮助下,跨不同类别的移动应用程序进行开源情报时,发现了此漏洞。AI反编译IPA文件并找出应用程序使用的S3存储桶、主机名和其他敏感详情;该漏洞允许任何恶意参与者,从应用程序的云端储存桶监听任何用户的通话记录,以及未经证实的API端点,泄漏了受害者数据的云端储存URL。”
如果你已经下载Call Recorder,记得将它更新至最新版本,该版本于2021年3月6日发布;更新时,为了安全起见,请务必检查你的应用程序是否是2.26或更新版本。
值得注意的是,Call Recorder应用程序有免费和高级版本,但在默认情况下会启动自动更新功能。如果你有兴趣了解这件事,可以在PingSafe AI部落格阅读完整的分析。