Grabar conversaciones telefónicas es práctico, aunque no siempre resulta seguro. Prueba de ello es un fallo de seguridad encontrado en la app Call Recorder que expuso miles de llamadas que realizaron usuarios de iPhone.
De acuerdo con TechCrunch, la vulnerabilidad fue descubierta por Anand Prakash, un experto en seguridad de la firma PingSafe AI. Prakash analizaba distintas aplicaciones de iOS usando una herramienta propietaria. Al descompilar el archivo de Call Recorder encontró detalles confidenciales que permitían escuchar las grabaciones de llamada de cualquier usuario.
El analista de PingSafe AI menciona que un atacante puede acceder al archivo de grabaciones de cualquier persona con solo ingresar el número, así como el historial completo de llamadas y los números de los que se realizaron.
Esto es posible ya que el fallo de seguridad en la API de Call Recorder ofrece al atacante la URL donde se almacenan las llamadas. Con la ayuda de un proxy para interceptar el tráfico, un actor malintencionado solo necesitaría conocer el número de teléfono de su víctima para acceder a la información.
El fallo de seguridad de Call Recorder dejó vulnerables más de 130.000 grabaciones
La vulnerabilidad conectaba a un espacio de almacenamiento de Amazon Web Services que utiliza la app para almacenar las conversaciones. Según TechCrunch, esta carpeta contenía más de 130.000 grabaciones y otros datos, aunque no fue posible acceder a ellos o descargarlos.
Anand Prakash menciona que comunicó el problema a los desarrolladores el pasado 27 de febrero, pero no tuvo éxito. Días después buscó ayuda para divulgar de forma responsable la vulnerabilidad con la ayuda de TechCrunch. Esto bastó para que Call Recorder resolviera el fallo de seguridad en cuestión de horas.
Según Prakash, vulnerabilidades como esta son de naturaleza catastrófica no solo porque afectan la privacidad del usuario, sino la imagen de la empresa. Call Recorder es una de las apps más populares de iOS y se encuentra en el Top 20 de la categoría de Negocios con más de un millón de descargas a nivel mundial.
Entre sus características se encuentra la grabación de llamadas sin necesidad de una conexión de internet. Los usuarios pueden organizar en categorías sus grabaciones, editarlas o enviarlas a Slack, Google Drive, Dropbox o OneDrive.