O aplicativo Automatic Call Recorder, um dos mais populares para usuários de dispositivos iOS, trazia uma falha bastante perigosa, que expôs a segurança de milhares de seus usuários. O app, cuja função é a de gravar chamadas telefônicas para consultas posteriores, permitia que qualquer pessoa pudesse acessar qualquer gravação, desde que um pequeno truque técnico fosse aplicado.
A falha foi descoberta pelo pesquisador Anand Prakash, da PingSafe, e basicamente consiste em usar uma ferramenta para mudança de proxy, alterando o tráfego de entrada e saída dos dados armazenados em um determinado aparelho. De forma resumida: um agente externo poderia mudar o número de telefone da vítima por um de sua escolha, recebendo assim a gravação em nome dela.
Leia mais:
- Hacker invade 150 mil câmeras de segurança em todo o mundo
- Casa Branca diz que Outlook ainda está vulnerável, mesmo após atualização
- WhatsApp terá criptografia e proteção por senha para backups de conversas
![Captura da página do "Automatic Call Recorder", app de gravação de chamadas para usuários do iOS](https://img.odcdn.com.br/wp-content/uploads/2021/03/Automatic-Call-Recorder-iOS-1024x576.jpg)
Segundo verificação do bug, feita pelo TechCrunch, tudo indica que a falha tem sua origem em uma má configuração dos servidores da equipe de desenvolvimento do aplicativo. “Essa vulnerabilidade existia no endpoint ‘/fetch-sinch-recordings.php’ da API do aplicativo”, disse Prakash em sua documentação. “Um hacker poderia passar o número de outro usuário no pedido de registro das gravações e a API responderia com a URL dela no sistema de armazenamento, sem nenhum tipo de autenticação. O ataque também vazaria todo o histórico de chamadas da vítima e os números para os quais ela ligou ou recebeu chamadas”.
Servidor exposto
Basicamente, o servidor do app permitia que o número de destino da gravação fosse alterado manualmente, oferecendo um link para download do arquivo no lugar da vítima.
O perigo, evidentemente, está na parte da “autenticação”: normalmente, processos que envolvam esse tipo de pedido junto a um servidor pedem por alguma identificação, seja usuário e senha, número de telefone ou alguma outra forma de provar que a pessoa a pedir pelo registro é de fato proprietária dele. O Automatic Call Recorder não fazia isso, permitindo que qualquer um se passasse por você, por exemplo.
O sistema de armazenamento (bucket) utilizado era parte de um banco de dados da Amazon Web Services (AWS), que continha mais de 300 GB de dados e aproximadamente 130 mil arquivos de áudio.
A divulgação da vulnerabilidade foi feita de forma responsável, ou seja, o pesquisador notificou a empresa primeiro e só veio a público após ela consertar o problema.
Fonte: PingSafe