Um aplicativo viral chamado Neon, que usa para gravar sua chamada telefônica e pagar pelo som para que possa comercializar essas informações para empresas de IA, realmente aumentou rapidamente para o ranking dos cinco principais aplicativos de iPhone do Apple, considerando que seu lançamento recentemente.
Atualmente, o aplicativo possui centenas de clientes e foi baixado e instalado 75.000 vezes somente no outro dia, de acordo com o aplicativo de conhecimento de aplicativos. O neon se destaca como um meio para os clientes fabricados fornecendo gravações de chamadas telefônicas que ajudam o trem, aprimoram e examinam as versões da IA.
Hoje, o Neon realmente ficou offline, no mínimo, depois de uma imperfeição de proteção, permitiu que qualquer pessoa acesse o número de telefone, as gravações de chamadas e registros de qualquer tipo de outro cliente, o TechCrunch pode reportar atualmente.
O TechCrunch encontrou a imperfeição de proteção durante um breve exame do aplicativo na quinta -feira. Informamos o proprietário do aplicativo, Alex Kiam (que anteriormente não respondia a uma observação sobre o aplicativo), à imperfeição logo após a nossa exploração.
Kiam informou o TechCrunch na quinta -feira que removeu os servidores da Web do aplicativo e começou a informar os clientes sobre a interrupção do aplicativo, mas decepcionou notificar seus clientes em relação à lacuna de proteção.
O aplicativo de neon parou de operar logo depois que ligamos para Kiam.
Ligue para gravações e registros expostos
Em erro, foi a verdade que os servidores da Web do aplicativo de neon não estavam evitando nenhum tipo de cliente conectado a acessar as informações de outra pessoa.
A TechCrunch produziu uma conta de cliente totalmente nova em um iPhone Apple especializado e validou um número de contato como componente do procedimento de inscrição. Utilizamos um dispositivo de avaliação de tráfego de site de rede chamado Burp Collection para avaliar as informações de rede que se deslocam dentro e fora do aplicativo de néon, permitindo-nos reconhecer exatamente como o aplicativo opera em um grau tecnológico, como exatamente como o aplicativo interage com seus servidores da Web de back-end.
Depois de fazer alguma ligação telefônica de exame, o aplicativo nos revelou uma lista de nossas mais recentes chamadas telefônicas e quanto dinheiro cada chamada telefônica foi feita. No entanto, nosso dispositivo de avaliação de rede divulgou informações que não eram perceptíveis para clientes normais no aplicativo de néon. Essas informações consistiram nos registros baseados em texto da chamada telefônica e um endereço da Internet para os dados de áudio, aos quais qualquer pessoa pode obter acesso abertamente desde que tivesse o link da web.
Como exemplo, abaixo, você pode ver os registros da nossa chamada telefônica de exame entre 2 repórteres da TechCrunch Press validando que a gravação funcionava efetivamente.
Pontuações de crédito de imagem: TechCrunch
Mas os servidores back -end da Web estavam adicionalmente com a capacidade de lançar resmas das gravações de chamadas telefônicas de outras pessoas e seus registros.
Em um exemplo, o TechCrunch localizou -se que os servidores da Web Neon podem criar informações sobre uma das chamadas telefônicas mais atuais feitas pelos clientes do aplicativo, além de fornecer links públicos na Internet para seus dados de som bruto e a mensagem de registros do que foi declarado na chamada telefônica. (Os dados sonoros consistem em gravações simplesmente aquelas que configuram neon, não aquelas que eles chamavam.)
Da mesma forma, os servidores da Web Neon podem ser controlados para expor um dos documentos de chamada telefônica mais atuais (adicionalmente chamados de metadados) de qualquer tipo de seus clientes. Esses metadados incluíam o número de telefone do cliente e o número de telefone do indivíduo que eles estão chamando, quando a ligação telefônica foi feita, seu período e quanto dinheiro cada telefonema foi feita.
Um testemunho de um punhado de registros e dados de áudio recomenda que alguns clientes possam estar utilizando o aplicativo para fazer chamadas telefônicas extensas que documentam discretamente discussões do mundo real com outros indivíduos para criar dinheiro com o aplicativo.
O aplicativo fecha, por enquanto
Logo depois que informamos o Neon à imperfeição na quinta-feira, o proprietário da empresa, Kiam, enviou um e-mail aos clientes que os informam para o fechamento do aplicativo.
“Sua privacidade pessoal de informações é a nossa principal prioridade, e pretendemos garantir que seja completamente segura e segura também durante toda essa duração do desenvolvimento rápido. Como resultado disso, estamos momentaneamente pegando o aplicativo para incluir camadas adicionais de proteção”, o e-mail, mostrado TechCrunch, check-out.
Significativamente, o e-mail não faz referência a uma lacuna de proteção ou que submeteu o número de telefone dos clientes, as gravações de chamadas e os registros de telefonemas a qualquer tipo de outro cliente que reconhecesse onde procurar.
É incerto quando o neon certamente retornará na Internet ou se essa lacuna de proteção certamente terá o interesse das lojas de aplicativos.
A Apple e o Google ainda não reagiram ao pedido de TechCrunch sobre a observação sobre se o Neon foi certificado com seus padrões específicos do programador.
No entanto, essa certamente não seria a primeira vez que um aplicativo com grandes preocupações de proteção chegou a esses mercados de aplicativos. Recentemente, um proeminente aplicativo de namoro móvel, chá, experimentou uma violação de informações, que submetia aos detalhes individuais de seus clientes e arquivos de identificação emitidos pelo governo. Aplicações populares como Bumble e Joint foram capturadas em 2024 submetidas às áreas de seus clientes. Ambas as lojas também precisam remover consistentemente aplicativos destrutivos que passarem por seus procedimentos de depoimento de aplicativos.
Quando perguntado, Kiam não reivindicou imediatamente se o aplicativo havia realmente passado por qualquer tipo de depoimento de proteção antes do seu lançamento e, em caso afirmativo, isso realizou o depoimento. Kiam também não afirmou, quando perguntado, se a empresa tem os métodos tecnológicos, como logs, para estabelecer se outra pessoa localizou a imperfeição antes de nós ou se algum tipo de informação do cliente foi obtido.
Além disso, o TechCrunch conectado a iniciantes e Xfund, que Kiam declara em uma mensagem do LinkedIn comprou seu aplicativo. Nenhuma das empresas realmente reagiu à nossa observação desde a revista.
.
Fuente
