Un difetto di sicurezza in un’app chiamata “Call Recorder” avrebbe reso pubbliche migliaia di conversazioni. E’ quanto riporta l’autorevole sito TechCrunch, che sottolinea come la vulnerabilità (già corretta) sia stata individuata da Al Anand Prakesh, ricercatore di PingSafe. L’app Call Recorder è progettata per consentire ai possessori di iPhone di registrare le proprie telefonate in entrata e in uscita. Le registrazioni vengono poi archiviate in cloud su Amazon Web Services.
Utilizzando uno strumento proxy come Burp Suite, il ricercatore è stato in grado di visualizzare e modificare il traffico di rete in entrata e in uscita dall’app. Una volta sostituito il suo numero di telefono con il numero di telefono di un altro utente di Call Recorder, le registrazioni delle loro chiamate sono diventate disponibili sul suo telefono. Prakesh si è quindi reso conto che erano disponibili più di 130.000 registrazioni audio, sebbene non fosse possibile scaricare i file al di fuori dell’app. TechCrunch ha quindi provveduto ad informare lo sviluppatore in merito alla falla di sicurezza, che è stata subito risolta grazie ad un aggiornamento rilasciato lo scorso sabato.
Un recente report della società di sicurezza mobile Zimperium ha fatto presente come migliaia di app iOS che utilizzano servizi di cloud pubblico come Amazon Web Services, Google Cloud e Microsoft Azure hanno configurazioni improprie che rischiano di esporre pubblicamente i dati degli utenti. Nell’indagine di Zimperium viene infatti rilevato che 6.608 app iOS espongono informazioni personali, password e informazioni mediche degli utenti. L’amministratore delegato di Zimperium, Shridhar Mittal, ha affermato che le configurazioni errate del cloud storage sono ormai diventate una “tendenza preoccupante”.
“Molte di queste app hanno uno spazio di archiviazione nel cloud che non è stato configurato correttamente dallo sviluppatore o da chiunque abbia impostato le cose e, per questo motivo, i dati sono visibili praticamente a chiunque. E la maggior parte di noi ha alcune di queste app in questo momento”, le parole di Mittal. Al momento non si conoscono le app “incriminate”, ma alcune di esse sarebbero piuttosto note.
