【有求必應】iOS錄音app無身份驗證 13萬用家錄音可被隨意竊聽
iOS 其中一款下載次數逾百萬的通話錄音 app 「call recorder」,被安全專家發現竟然存在身份驗證漏洞,開發商儲存於AWS雲端上的用家通話記錄及通話錄音,都可以通過修改 API 指令,被黑客隨意竊取,好兒戲喎!
ClubHouse 語音社交平台早前被爆漏洞,有心人可以闖入不同房間錄音,再將用家對話的語音檔上載網上分享。雖然用家在房間內的公開發言,都會預計有可能被錄音,所以未必有太多機密訊息,但在不知情下被竊聽,感覺始終不太愉快。不過當換轉通話錄音 app 出現安全漏洞,情況就完全不同,因為使用錄音 app 一般都有工作需要,例如記者做電話訪問、同客戶開會等等,當中總涉及一些機密資料。而 PingSafe AI 網絡安全研究員 Anand Prakash 最新發現的安全漏洞,便與 iOS 其中一款下載次數逾百萬的通話錄音 app 「call recorder」有關。
Prakash 指出開發商採用了 Amazon 的雲端服務,儲存用家的個人資料、通話記錄及錄音檔,不過並沒有在用家身份驗證上做好防禦,以至令 13 萬條以上錄音有可能被黑客竊聽。他說今次事故的問題在手機 app 會使用 API 連接 AWS 資料庫,當系統檢測到 request 內的用家號碼,便會讀取相應的用家檔案,而 Prakash 便發現只要自己利用 web proxy 工具如 Burp Suite 監察出入該 app 的網絡活動,同時以目標用家的電話號碼,放入由自己的手機 app 發出的 request 指令,即使並非該用家,他也能成功讀取該用家的通話記錄及錄音檔。
缺乏身份驗證是資料外洩的最常見原因之一,手機應用 app 開發者必須在設計軟件時考慮完整的安全問題,例如考慮使用安全驗證 token,中央系統在執行指令時必須通過驗證,同時儲存的資料亦應加密,即使黑客通過別的途徑入侵資料庫,也能保障用家的通話記錄及錄音不會被破解。Prakash 將研究發現經傳媒通知 call recorder 的開發者後,雖然對方沒有回覆,但其後該公司已在系統更新記錄中提及已堵塞該漏洞,用家現時可以安心使用。