3月10日消息 安全研究員、PingSafe AI 創(chuàng)始人 Anand Prakash 發(fā)現(xiàn)了流行的 iPhone 應(yīng)用 “自動(dòng)通話記錄器”(Automatic Call Recorder)的一個(gè)漏洞。這個(gè)漏洞允許任何人通過(guò)知曉其他用戶的電話號(hào)碼來(lái)獲取他們的通話記錄。

據(jù) TechCrunch 報(bào)道，這個(gè)安全漏洞暴露了數(shù)千名用戶的通話記錄。通過(guò) Burp Suite 等代理工具，Prakash 可以查看和修改進(jìn)出該應(yīng)用的網(wǎng)絡(luò)流量。

IT之家獲悉，這意味著他可以將自己在應(yīng)用中注冊(cè)的電話號(hào)碼替換為另一個(gè)應(yīng)用用戶的電話號(hào)碼，并在自己的手機(jī)上訪問(wèn)他們的錄音內(nèi)容。

TechCrunch 表示，它可以驗(yàn)證 Prakash 的發(fā)現(xiàn)，并等到開(kāi)發(fā)者修復(fù)了這個(gè)錯(cuò)誤后再發(fā)布報(bào)道。

該應(yīng)用將用戶的通話記錄存儲(chǔ)在 AWS 托管的云存儲(chǔ) Bucket(桶)上。雖然公開(kāi)并列出了里面的文件，但文件無(wú)法訪問(wèn)或下載。截至記者發(fā)稿時(shí)，該 Bucket 已經(jīng)關(guān)閉。

報(bào)道解釋說(shuō)，3 月 6 日，“自動(dòng)通話記錄器”應(yīng)用的開(kāi)發(fā)商發(fā)布了安全更新，但在修復(fù)之前，超過(guò) 13 萬(wàn)份錄音可以被任何人訪問(wèn)。據(jù)其頁(yè)面顯示，該應(yīng)用在 App Store 的下載量超過(guò) 100 萬(wàn)次。開(kāi)發(fā)商宣稱，該應(yīng)用 “可能是你在 App Store 上能找到的最容易使用的通話錄音機(jī)”。

開(kāi)發(fā)商沒(méi)有回復(fù) TechCrunch 團(tuán)隊(duì)的幾次置評(píng)請(qǐng)求，截至目前，該 Bug 已經(jīng)被修復(fù)。

關(guān)鍵詞： iPhone 漏洞