ИБ-специалист Ананд Пракаш обнаружил в приложении iPhone Call Recorder уязвимость, которая могла привести к утечке записей телефонных разговоров.

Если заменить номер телефона, зарегистрированный в iPhone Call Recorder, на другой номер, приложение предоставляет чужие данные, включая записи телефонных переговоров, сохранённые в облаке. На сервере приложения хранится около 300 ГБ аудиоданных, это более 130 тысяч записей.

Воспользовался ли кто-либо этой уязвимостью прежде, чем её обнаружил Ананд Пракаш, неизвестно. Вероятность утечки довольна высока, ведь для получения записей чужих разговоров нужно было лишь указать номер телефона. Также не исключены прицельные атаки, ведь злоумышленник мог намеренно выкачать записи пользователя определённого номера без его ведома.

Разработчики iPhone Call Recorder уже устранили уязвимость и защитили данные в облачном хранилище, теперь для доступа к записям требуется полноценная авторизация. Примечательно, что это приложение платное и довольно дорогое — неделя его использования стоит 6,99 доллара. Бесплатных штатных способов записывать телефонные разговоры на iPhone, в отличие от многих Android-смартфонов, не существует.