Une app populaire expose des milliers d’enregistrements d’appels

Il y a 1 heure

Julien Russo

Réagir

Sur l'App Store, vous retrouvez plusieurs applications qui vous permettent d'enregistrer des appels vocaux, cela peut vous servir de preuve dans une multitude de situations. Cependant, les enregistrements d'appels sont-ils bien protégés ? Pas vraiment, du moins pour l'application Enregistrement des appels de l'éditeur Arun Nair.

Publicité

Quand une application est en plein cœur d'un scandale...

D'après Anand Prakash, chercheur en sécurité et fondateur de l'entreprise PingSafe AI, une application iOS aurait posé un grave problème en matière de confidentialité. En effet, celui-ci a découvert une importante faille dans la populaire application Enregistrement des appels.

Quand vous effectuez un appel enregistré, l'app garde l'enregistrement sur ses serveurs afin de vous proposer de le réécouter plus tard si vous le désirez. Cependant, les fichiers n'auraient pas été conservés en sécurité comme l'atteste Prakash.



Selon ses propos, l'accès aux enregistrements d'une tierce personne était un jeu d'enfant. N'importe quel utilisateur n'avait qu'à changer son numéro de téléphone enregistré dans l'application pour mettre celui d'un autre utilisateur. Une fois validé par l'application, celui-ci pouvait accéder à la liste de tous les enregistrements sauvegardés.

Cette faille a exposé au grand jour environ 130 000 enregistrements d'appels effectués partout dans le monde. Des utilisateurs européens, américains, asiatiques... sont concernés !

Heureusement, peu de monde l'a appris ce qui a permis de limiter les dégâts, mais les personnes qui se trompaient involontairement de numéro ont dû avoir une petite surprise lors de l'utilisation de l'app.

L'application stocke les enregistrements d'appels de son utilisateur sur un compartiment de stockage cloud hébergé sur Amazon Web Services. Bien que le public soit ouvert et répertorie les fichiers à l'intérieur, les fichiers n'ont pas pu être consultés ou téléchargés.

Après la découverte de cette vulnérabilité, le chercheur en sécurité a pris contact avec TechCrunch et le développeur de l'application pour signaler l'anomalie détectée. Le média américain a bien évidemment attendu que le développeur corrige la faille dans une mise à jour (publié le 6 mars) avant de relayer l'information.

Enregistrement des appels est l'une des applications les plus téléchargées dans sa catégorie, elle compte plus d'un million d'utilisateurs et des milliers d'enregistrements d'appels tous les jours.