電話の通話を録音し、その音声データに対して報酬を支払い、そのデータをAI企業に販売するという人気アプリ「Neon」が、先週のリリース以来、iPhoneの無料アプリのトップ5に急上昇している。
アプリ情報プロバイダーのAppfiguresによると、このアプリはすでに数千人のユーザーを抱え、昨日だけで7万5000回ダウンロードされた。Neonは、AIモデルのトレーニング、改善、テストに役立つ通話録音を提供することで、ユーザーが収益を得られる手段として売り込まれている。
しかし、TechCrunchの報道によると、セキュリティ上の欠陥により誰でも他のユーザーの電話番号、通話記録、トランスクリプトにアクセスできてしまったため、Neonは少なくとも今のところはオフラインになっているという。
TechCrunchは木曜日にアプリの短期テスト中にこのセキュリティ上の欠陥を発見しました。発見後すぐに、アプリの開発者であるアレックス・キアム氏(アプリに関するコメントの要請には応じていません)にこの欠陥について報告しました。
キアム氏は木曜日遅くにTechCrunchに対し、アプリのサーバーを停止し、アプリを一時停止することについてユーザーに通知し始めたが、セキュリティ上の不備についてはユーザーに通知しなかったと語った。
Kiam に連絡した直後、Neon アプリは機能しなくなりました。
通話録音と記録が公開される
問題は、Neon アプリのサーバーが、ログインしたユーザーが他人のデータにアクセスするのを阻止していなかったことにあった。
TechCrunchは専用のiPhoneで新規ユーザーアカウントを作成し、サインアッププロセスの一環として電話番号を認証しました。Burp Suiteというネットワークトラフィック分析ツールを使用して、Neonアプリに出入りするネットワークデータを検査し、アプリがバックエンドサーバーとどのように通信するかなど、技術的なレベルでアプリの動作を理解することができました。
テスト通話をいくつか行った後、アプリは最近の通話履歴と各通話の収益額を表示しました。しかし、ネットワーク分析ツールは、Neonアプリの一般ユーザーには表示されない詳細情報を明らかにしました。これには、通話のテキストベースのトランスクリプトと音声ファイルへのウェブアドレスが含まれており、リンクさえ知っていれば誰でも公開アクセスできました。
たとえば、ここでは 2 人の TechCrunch 記者間のテスト通話の記録を見ることができ、録音が適切に機能したことを確認できます。
しかし、バックエンド サーバーは、他の人の通話録音とその記録を大量に吐き出すことも可能でした。
あるケースでは、TechCrunchは、Neonサーバーがアプリユーザーによる最新の通話に関するデータを生成できるだけでなく、生の音声ファイルと通話内容の書き起こしテキストへの公開ウェブリンクも提供できることを発見した。(音声ファイルにはNeonをインストールしたユーザーの録音のみが含まれ、通話したユーザーの録音は含まれていない。)
同様に、Neonのサーバーを操作すれば、ユーザーの最新の通話記録(メタデータとも呼ばれる)が明らかになる可能性がありました。このメタデータには、ユーザーの電話番号と通話相手の電話番号、通話時間、通話時間、そして各通話で得られた収益が含まれていました。
いくつかの書き起こしや音声ファイルを調べたところ、一部のユーザーがこのアプリを使って長時間の通話を行い、他の人との実際の会話を密かに録音し、アプリを通じて収益を得ている可能性があることがわかった。
アプリは今のところ終了
木曜日にNeonにこの欠陥について警告した直後、同社の創設者であるKiam氏は顧客にアプリのシャットダウンを警告するメールを送信した。
TechCrunchに共有されたメールには、「お客様のデータのプライバシーは当社の最優先事項であり、急速な成長期においても、データの安全性を完全に確保したいと考えています。そのため、セキュリティをさらに強化するため、一時的にアプリを停止させていただきます」と記されている。
注目すべきは、この電子メールには、セキュリティ上の欠陥や、ユーザーの電話番号、通話録音、通話記録が、どこを見ればよいかを知っている他のユーザーに公開されたことに関する言及がないことです。
Neon がいつオンラインに戻るのか、またこのセキュリティ上の欠陥がアプリ ストアの注目を集めることになるかどうかは不明です。
AppleとGoogleは、Neonがそれぞれの開発者ガイドラインに準拠しているかどうかについてのTechCrunchの問い合わせに対し、まだコメントしていない。
しかし、深刻なセキュリティ問題を抱えたアプリがこれらのアプリマーケットプレイスに流入するのは今回が初めてではありません。最近では、人気のモバイル出会い系コンパニオンアプリ「Tea」でデータ侵害が発生し、ユーザーの個人情報と政府発行の身分証明書が流出しました。また、BumbleやHingeといった人気アプリは2024年にユーザーの位置情報を漏洩していたことが発覚しました。両ストアは、アプリ審査プロセスをすり抜けた悪質なアプリを定期的に削除する必要があります。
質問に対し、キアム氏は、アプリがリリース前にセキュリティレビューを受けたかどうか、また受けたとすれば誰がレビューを行ったのかについてはすぐには言及しなかった。また、ログなどの技術的手段を用いて、当社より先にこの欠陥を発見した人物がいたかどうか、あるいはユーザーデータが盗まれたかどうかを確認できるかどうかについても、キアム氏は回答しなかった。
TechCrunchはさらに、キアム氏がLinkedInの投稿で自身のアプリに投資したと主張するUpfront VenturesとXfundにも連絡を取った。記事掲載時点では、どちらの企業からもコメントの要請には応じていない。
