安全研究人员某自动通话记录器iOSA

IT之家3月10日消息安全研究员、PingSafeAI创始人AnandPrakash发现了流行的iPhone应用“自动通话记录器”（AutomaticCallRecorder）的一个漏洞。这个漏洞允许任何人通过知晓其他用户的电话号码来获取他们的通话记录。

据TechCrunch报道，这个安全漏洞暴露了数千名用户的通话记录。通过BurpSuite等代理工具，Prakash可以查看和修改进出该应用的网络流量。

IT之家获悉，这意味着他可以将自己在应用中注册的电话号码替换为另一个应用用户的电话号码，并在自己的手机上访问他们的录音内容。

TechCrunch表示，它可以验证Prakash的发现，并等到开发者修复了这个错误后再发布报道。

该应用将用户的通话记录存储在AWS托管的云存储Bucket（桶）上。虽然公开并列出了里面的文件，但文件无法访问或下载。截至记者发稿时，该Bucket已经关闭。

报道解释说，3月6日，“自动通话记录器”应用的开发商发布了安全更新，但在修复之前，超过13万份录音可以被任何人访问。据其页面显示，该应用在AppStore的下载量超过万次。开发商宣称，该应用“可能是你在AppStore上能找到的最容易使用的通话录音机”。

开发商没有回复TechCrunch团队的几次置评请求，截至目前，该Bug已经被修复。