Nutzer-Telefonate für Unbefugte abspielbar: Populäre iOS-App Call Recorder mit schwerem Sicherheitsleck
Eine Sicherheitslücke in der iOS-App „Call Recorder“ gab Unbefugten die Möglichkeit, Zugriff auf tausende aufgenommene Nutzer-Unterhaltungen zu erlangen. Dazu bedurfte es lediglich eines Proxy-Werkzeugs und der Telefonnummer des Betroffenen, dessen Daten abgegriffen werden sollen. So ließen sich dessen im App-eigenen Cloud-Dienst gespeicherten Telefonate abspielen. Die App wurde bislang über eine Million Mal heruntergeladen und gehört zu den Top-20-Geschäftsanwendungen in 20 Ländern, so der Hersteller. Der Sicherheitsforscher Anand Prakash deckte das Datenleck auf und führte es auf einen Programmierfehler der Software zurück.
Proxy-Tool und Telefonnummer der Betroffenen reichenPrakash konnte über Proxy-Tools wie Burp Suite den ein- und ausgehenden Datenverkehr von Call Recorder analysieren und manipulieren – letzteres war für den unbefugten Zugriff auf Nutzer-Telefonate erforderlich. Vergleichsweise einfach ließ sich auf die Weise die eigene registrierte Telefonnummer gegen eine beliebige Nummer eines anderen App-Anwenders austauschen. Das Cloud-Backend von Call Recorder gab daraufhin die bei Amazon Web Services (AWS) gespeicherten Telefongespräche des betroffenen Anwenders für die unberechtigte Person frei – eine Sicherheitsabfrage oder sonstige Schutzmaßnahme war offenbar nicht implementiert. Die Unterhaltungen standen direkt über die App zur Verfügung.
Bisherigen Erkenntnissen zufolge handelte es sich um einen großen Daten-Bucket des App-Anbieters, der über die Sicherheitslücke eingesehen werden konnte. Das darin gespeicherte Datenpaket hat eine Größe von rund 300 Gigabyte. Laut Prakash beinhaltete der Bucket über 130.000 Aufnahmen von Nutzertelefonaten. Die für fremde Einsicht verfügbaren Gespräche könnten sogar sensible Firmen-Informationen diverser Unternehmen enthalten haben.
Unklarheit über Fix der SicherheitslückeDer für Call Recorder verantwortliche Softwareanbieter veröffentlichte vor Kurzem ein Update der App, das die Sicherheitslücke beseitigen könnte. Hundertprozentige Sicherheit herrscht jedoch nicht. Der Update-Text spricht lediglich allgemein von einem Security-Patch. Eine entsprechende Anfrage von
TechCrunch ließ App-Entwickler Arun Nair bislang unbeantwortet.