iPhone用通話録音アプリのバグで数千件の通話記録が流出

人気のiPhone通話録音アプリのセキュリティ脆弱性により、何千人ものユーザーの会話の録音が流出した。

この脆弱性は、セキュリティ研究者でPingSafe AIの創設者であるAnand Prakash（アナンド・プラカシュ）氏によって発見された。プラカシュ氏はCall Recorderという適当な名前のアプリで、電話番号を知っていれば誰でも他のユーザーの通話記録にアクセスできることを発見した。

Burp Suiteのような簡単に入手できるプロキシツールを使えば、アプリのネットワークトラフィックを見たり変更したりできるので、アプリに登録されている自分の電話番号を別のアプリユーザーの電話番号に置き換えて、自分のスマートフォンでその録音にアクセスすることができたとプラカシュ氏は報告している。

TechCrunchは専用アカウントの予備スマートフォンを使って、プラカシュ氏の発見を検証した。

Call Recorderはユーザーの通話録音をAmazon Web Services上のクラウドストレージのバケットに保存している。これは公開されており、内部のファイルが一覧表示されていたが、ファイルにアクセスしたりダウンロードしたりすることはできなかった。バケットは報道までに閉鎖されていた。

記事執筆時点では、クラウドストレージのバケットには13万件以上に相当する約300GBのオーディオ録音データが入っていた。Call Recorderによると、現在までに100万件以上のアプリのダウンロードがあるという。

TechCrunchはアプリ開発者に連絡を取り、脆弱性が修正されるまでこの記事の公開を保留した。アプリの新バージョンは米国時間3月5日にApp Storeに提出されている。リリースノートによると、アプリのアップデートは「セキュリティレポートの内容にパッチを当てる」ものだという。

セキュリティの問題を通知する米TechCrunchの最初のメールに簡単な回答があったにもかかわらず、アプリ開発者のArun Nair（アルン・ネア）氏は、いくつかのコメント要請に応じていない。