人気の iPhone 通話録音アプリのセキュリティ上の脆弱性により、数千件のユーザーの録音された会話が公開されました。
この欠陥は、セキュリティ研究者でPingSafe AIの創設者でもあるアナンド・プラカシュ氏によって発見されました。同氏は、その名の通り「通話録音」アプリによって、電話番号が分かれば誰でも他のユーザーの通話録音にアクセスできることを発見しました。
しかし、Burp Suiteのような手軽に入手できるプロキシツールを使うことで、プラカシュはアプリに出入りするネットワークトラフィックを閲覧・変更することができました。つまり、アプリに登録されている自分の電話番号を他のアプリユーザーの電話番号に置き換え、自分の携帯電話からそのユーザーの録音にアクセスできたのです。
TechCrunchは、専用アカウントを持つ予備の携帯電話を使用して、Prakash氏の調査結果を検証した。
このアプリは、ユーザーの通話録音をAmazon Web Servicesでホストされているクラウドストレージバケットに保存します。クラウドストレージサーバーは開いており、中のファイルもリストされていましたが、ファイルへのアクセスやダウンロードはできませんでした。記事執筆時点でバケットは閉じられていました。
データは世界で最も価値のある(そして脆弱な)リソースである
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
本稿執筆時点で、クラウドストレージバケットには13万件以上の音声録音が保存されており、その容量は約300ギガバイトに上ります。アプリによると、ダウンロード数はこれまでに100万回を超えています。
TechCrunchはアプリ開発者に連絡を取り、欠陥が修正されるまでこの記事の掲載を保留しました。アプリの新バージョンは土曜日にAppleのApp Storeに提出されました。リリースノートには、アプリのアップデートは「セキュリティレポートへのパッチ適用」を目的としていると記載されていました。
セキュリティ問題を認める当初のメールに対しては簡潔に返答があったものの、アプリ開発者のArun Nair氏はコメントを求める数回の要請には応じていない。
SignalとWhatsAppを使って、+1 646-755-8849まで安全にヒントを送信できます。SecureDropを使ってファイルや文書を送信することもできます。
AppleがiPhone、iPad、Mac、Watchの重要なセキュリティパッチをリリース
トピック
Amazon Web Services 、アプリ開発者、アプリストア、ファイル、 iOS 、 iPhone 、 iTunes 、モバイルアプリ、オペレーティングシステム、セキュリティ、ソフトウェア、ウェブサービス
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
