云存储配置不当:iOS通话录音App被爆存在用户隐私泄露隐患
MacRumors 报道称,近日曝光的一个通话录音 App 安全漏洞,导致了数以万计的客户隐私处于风险之中。庆幸的是,在 PingSafe AI 研究人员 Anand Prakesh 披露之后,开发者已对这款通话录音应用进行了修补。据悉,该应用可帮助 iPhone 用户录制呼入和传出的通话,并将录音存储到亚马逊云服务(AWS)的存储库中。
截图(来自:App Store)
然而借助 Burp Suite 之类的代理工具,Anand Prakash 顺利地实现了查看和修改进出该 App 的网络流量。此外在将另一位 App 用户的号码替换之后,竟然还可以在终端上调用他人的通话录音。
即使无法在 App 外部访问或下载文件,但 Anand Prakash 还是发现了超过 13 万个可用的音频记录。庆幸的是,开发者已经在上周六的更新中修复了这个安全漏洞。
移动安全公司 Zimperium 的最新报告显示,数千款使用公共云服务(比如 AWS、Google Cloud、Microsoft Azure)的 iOS 应用程序存在着设置不当、易暴露用户数据的安全风险,另有 6608 款 iOS 应用正在泄露用户的个人密码和医疗信息等隐私。
Zimperium 首席执行官 Shridhar Mittal 表示:“云存储配置错误有着令人不安的趋势,这些 App 中有许多都未经开发者进行妥善的人工配置,结果导致几乎可被任何人看到数据,且我们之中的大多数人都或多或少地在使用相关 App”。