Популярное в США приложение Neon Mobile, которое платит пользователям за запись их телефонных звонков и передачу данных ИИ-компаниям, временно отключили. В его работе нашли серьёзную уязвимость, которая позволяла получить доступ к чужим разговорам, стенограммам и номерам телефонов.
Журналисты TechCrunch выяснили, что серверы Neon не блокировали доступ зарегистрированных пользователей к чужим данным. В редакции создали новую учётную запись пользователя на iPhone и подтвердили номер телефона в процессе регистрации. Затем журналисты использовали инструмент анализа сетевого трафика Burp Suite для проверки данных, входящих и исходящих из приложения Neon, что позволило им понять, как работает приложение на техническом уровне, например, как оно взаимодействует со своими внутренними серверами. После нескольких тестовых звонков приложение выдало список последних звонков и сумму дохода за каждый. Однако инструмент анализа сети выявил детали, которые включали текстовую расшифровку звонка и веб-адрес аудиофайлов, к которым любой мог получить публичный доступ при наличии ссылки.
В одном случае в TechCrunch обнаружили, что серверы Neon могли собирать данные о последних звонках, совершённых пользователями приложения, а также предоставлять общедоступные веб-ссылки на необработанные аудиофайлы и текст расшифровки разговора. Аналогичным образом, серверы можно было использовать для раскрытия последних записей звонков любого из пользователей. Эти метаданные содержали номер телефона самого юзера и номер телефона вызываемого абонента, время звонка, его продолжительность и сумму дохода за каждый.
Анализ нескольких расшифровок и аудиофайлов позволяет предположить, что некоторые пользователи используют приложение для скрытой записи реальных разговоров с другими людьми с целью увеличения дохода.
Основатель сервиса Алекс Киам после уведомления об утечке отключил приложение и сообщил пользователям, что оно будет недоступно «для повышения безопасности». «Конфиденциальность ваших данных — наш главный приоритет, и мы хотим обеспечить их полную безопасность даже в период быстрого роста. В связи с этим мы временно отключаем приложение, чтобы обеспечить дополнительные уровни безопасности», — говорится в электронном письме, предоставленном TechCrunch. Однако разработчик не уточнил, проходило ли приложение проверку безопасности перед запуском, и если да, то кто её проводил. Он также не ответил, есть ли у компании технические средства, такие как логи, чтобы определить, обнаружил ли кто-то ещё уязвимость и были ли украдены пользовательские данные.
Пока неясно, восстановит ли работу Neon.
Приложение запустили всего неделю назад, и оно быстро вошло в пятерку самых скачиваемых бесплатных приложений для iOS. По данным аналитического сервиса Appfigures, у него тысячи пользователей, а только за сутки приложение скачали 75 тысяч раз. Neon Mobile платит пользователям до $30 в день за продажу их данных. Разработчики приложения утверждали, что оно записывают только одного абонента, если они оба не используют Neon.
Источник: habr.com