Sicherheitsforscher Anand Prakash von PingSafe AI hat eine wichtige Nachricht für alle iOS-Fans: Die iPhone-App Call Recorder ist nicht sicher. Die Anwendung ist durchaus beliebt bei den Nutzern und kommt im App Store bei über 2.000 Bewertungen auf eine Durchschnittsnote von 4,2 von fünf Sternen. Doch Prakash weist auf eine Sicherheitslücke hin, die den Nutzern zum Verhängnis werden könnte.
iPhone-App Call Recorder offenbart ein mögliches Leak
Call Recorder ist eine bekannte iOS-App zum Aufnehmen von Telefongesprächen, die Amazon Web Services (AWS) nutzt, um Aufnahmen abzuspeichern. Durch einen Programmierfehler sollen große Mengen an Aufzeichnungen nun für Unberechtigte zugänglich geworden sein. Das behauptet der Sicherheitsforscher Anand Prakash. Mit der Verwendung des Proxywerkzeugs Burp Suite konnte er aufzeigen, wie der Traffic von Call Recorder verläuft.
Durch einen Selbsttest konnte Anand Prakash nachweisen, dass es sehr leicht möglich war, die Telefonnummer auszutauschen und an das Cloud-Backend von Call Recorder zu senden. Im Anschluss konnte er alle Aufnahmen der betroffenen Person abrufen, die unter der Telefonnummer bei AWS hinterlegt waren. Hierzu nutzte er die iPhone-App selbst. Zu einer Authentifizierung wurde nicht aufgerufen, anscheinend vertraute AWS der iPhone-App Call Recorder blind.
Betrüger hatten ihren Spaß gehabt
Hätte jemand diese Sicherheitslücke für sich genutzt, dann hätte er bis zu 300 Gigabytes an Daten abgreifen, oder über 130.000 Aufnahmen abstauben können. Das erzählte Prakash dem IT-Blog TechCrunch. Die Kollegen prüften das gleich nach und konnten Prakashs Beobachtungen an einem Test-iPhone belegen.
Anand Prakash hat inzwischen den Entwickler der iPhone-App Call Recorder alarmiert. Dieser sperrte daraufhin den AWS-Bucket. Inzwischen gibt es auch schon eine neue Version von Call Recorder zum Download. Mit an Bord ist diesmal ein Patch für die Sicherheitslücke.
Vor kurzem wurde auch eine andere iPhone-App plötzlich eingestellt. Das hatte für die Kunden einige Folgen. Solcher Phänomene ungeachtet, sind Nutzer immer noch bereit viel Geld für iPhone-Apps zu bezahlen.