Une application nommée « Call Recorder » pour iOS est vulnérable selon un chercheur en sécurité et expose des milliers d’enregistrements audio en plein nature sur le web.
Apple ne propose aucune application ou fonctionnalité intégrée pour enregistrer les appels téléphoniques, c’est pour cette raison que les utilisateurs ont tendance à utiliser des applications tierces qu’on trouve sur l’App store d’Apple pour pouvoir enregistrer et garder ces appels. Sauf que plusieurs de ces applications tierces d’enregistrement d’appels gardent une copie des enregistrements audio sur leurs propres serveurs (en cloud) pour que l’utilisateur les retrouve à tout moment et facilement.
Mais apparemment l’application Call Recorder pour iOS n’a pas pu garantir la sécurité et la confidentialité de ses utilisateurs à cause d’une faille critique qui a exposé les enregistrements audio de plusieurs centaines de personnes. Et c’est le chercheur en sécurité et le fondateur de PinSafe AI, Anand Prakash qui est derrière cette découverte très inquiétante et confirme que n’importe quelle personne peut accéder aux enregistrements d’un autre utilisateur en connaissant seulement son numéro de téléphone.
Pour exploiter la faille, l’utilisateur utilise un proxy pour faire croire à l’application qu’il s’agit du bon utilisateur derrière la requête et avec le bon numéro de téléphone.
Les enregistrements des utilisateurs de l’application Call recorder sont stockés dans une instance en cloud d’Amazon Web services et on compte déjà plus de 130000 enregistrements d’appels audio !
La faille a été corrigée rapidement et vous devez mettre à jour l’application si ce n’est déjà fait, si non virez la de votre iPhone pour avoir l’esprit tranquille.