خانه
امنیت
اپلیکیشن ضبط تماس نئون پس از افشای اطلاعات کاربران، خاموش شد

اپلیکیشن ضبط تماس نئون پس از افشای اطلاعات کاربران، خاموش شد

یک اپلیکیشن ویروسی به نام Neon که وعده ضبط تماس‌های تلفنی شما را می‌دهد و در ازای فایل صوتی به شما پول پرداخت می‌کند تا بتواند این داده‌ها را به شرکت‌های هوش مصنوعی بفروشد، از زمان راه‌اندازی‌اش در هفته گذشته به سرعت در رده پنج اپلیکیشن برتر رایگان آیفون قرار گرفته است.

به گفته Appfigures، ارائه‌دهنده اطلاعات اپلیکیشن، این اپلیکیشن در حال حاضر هزاران کاربر دارد و تنها در دیروز ۷۵۰۰۰ بار دانلود شده است. Neon خود را به عنوان راهی برای کسب درآمد کاربران از طریق ارائه ضبط تماس‌هایی معرفی می‌کند که به آموزش، بهبود و آزمایش مدل‌های هوش مصنوعی کمک می‌کند.

اما اکنون Neon از دسترس خارج شده است، حداقل برای فعلاً، پس از اینکه یک نقص امنیتی به هر کسی اجازه داد به شماره تلفن، ضبط تماس‌ها و رونوشت‌های هر کاربر دیگری دسترسی پیدا کند. این خبری است که خبرنگار می‌تواند گزارش دهد.

خبرنگار این نقص امنیتی را در طی یک آزمایش کوتاه از برنامه در روز پنجشنبه کشف کرد. ما بلافاصله پس از کشف این نقص، الکس کیام، بنیانگذار برنامه (که قبلاً به درخواست اظهار نظر در مورد برنامه پاسخ نداده بود) را از این موضوع مطلع کردیم.

کیام بعداً در روز پنجشنبه به خبرنگار گفت که سرورهای برنامه را پایین آورده و شروع به اطلاع رسانی به کاربران در مورد توقف برنامه کرده است، اما در اطلاع رسانی به کاربران خود در مورد نقص امنیتی کوتاهی کرد.

اپلیکیشن Neon بلافاصله پس از تماس ما با کیام از کار افتاد.

ضبط تماس‌ها و رونوشت‌ها در معرض دید

مشکل اصلی این بود که سرورهای اپلیکیشن Neon از دسترسی هر کاربر وارد شده به داده‌های شخص دیگری جلوگیری نمی‌کردند.

خبرنگار یک حساب کاربری جدید در یک آیفون اختصاصی ایجاد کرد و یک شماره تلفن را به عنوان بخشی از فرآیند ثبت نام تأیید کرد. ما از یک ابزار تجزیه و تحلیل ترافیک شبکه به نام Burp Suite برای بررسی داده‌های شبکه ورودی و خروجی از برنامه Neon استفاده کردیم، که به ما امکان داد نحوه کارکرد برنامه را در سطح فنی درک کنیم، مانند نحوه ارتباط برنامه با سرورهای پشتیبان خود.

پس از برقراری چند تماس آزمایشی، برنامه لیستی از جدیدترین تماس‌های ما و میزان پولی که هر تماس به دست آورده بود را به ما نشان داد. اما ابزار تجزیه و تحلیل شبکه ما جزئیاتی را نشان داد که برای کاربران عادی در برنامه Neon قابل مشاهده نبود. این جزئیات شامل رونوشت متنی تماس و یک آدرس وب به فایل‌های صوتی بود که هر کسی می‌توانست به طور عمومی به آن‌ها دسترسی داشته باشد، تا زمانی که لینک را داشته باشد.

به عنوان مثال، در اینجا می‌توانید رونوشت تماس آزمایشی ما بین دو خبرنگار را ببینید که تأیید می‌کنند ضبط به درستی کار می‌کند.

a JSON response from Neon Mobile's server, which reads as transcript text from a call between two TC reporters, which says: "Uh, it worked. Hooray. Okay. Thanks, mate." — **Image Credits:**TechCrunch

اما سرورهای پشتیبان همچنین قادر بودند حجم زیادی از ضبط تماس‌ها و رونوشت‌های افراد دیگر را ارائه دهند.

در یک مورد، خبرنگار دریافت که سرورهای Neon می‌توانند داده‌هایی درباره جدیدترین تماس‌های برقرار شده توسط کاربران برنامه ارائه دهند، و همچنین لینک‌های وب عمومی به فایل‌های صوتی خام و متن رونوشت آنچه در تماس گفته شده است را ارائه دهند. (فایل‌های صوتی فقط حاوی ضبط‌های کسانی است که Neon را نصب کرده‌اند، نه کسانی که با آنها تماس گرفته‌اند.)

به طور مشابه، می‌توان سرورهای Neon را طوری دستکاری کرد که جدیدترین سوابق تماس (که به عنوان فراداده نیز شناخته می‌شوند) را از هر یک از کاربران خود نشان دهد. این فراداده شامل شماره تلفن کاربر و شماره تلفن شخصی است که با او تماس می‌گیرد، زمان برقراری تماس، مدت زمان آن و میزان پولی که هر تماس به دست آورده است.

بررسی تعدادی از رونوشت‌ها و فایل‌های صوتی نشان می‌دهد که برخی از کاربران ممکن است از این برنامه برای برقراری تماس‌های طولانی استفاده کنند که به طور پنهانی مکالمات واقعی با افراد دیگر را ضبط می‌کند تا از طریق برنامه درآمد کسب کنند.

برنامه برای مدتی غیرفعال شد

اندکی پس از اینکه ما در روز پنجشنبه نقص را به Neon اطلاع دادیم، کیام، بنیانگذار شرکت، ایمیلی برای مشتریان ارسال کرد و آنها را از تعطیلی برنامه مطلع کرد.

در ایمیلی که با خبرنگار به اشتراک گذاشته شد، آمده است: «حفظ حریم خصوصی داده‌های شما اولویت شماره یک ما است و ما می‌خواهیم اطمینان حاصل کنیم که حتی در این دوره رشد سریع کاملاً امن است. به همین دلیل، ما به طور موقت برنامه را غیرفعال می‌کنیم تا لایه‌های امنیتی بیشتری اضافه کنیم.»

قابل توجه است که این ایمیل هیچ اشاره‌ای به نقص امنیتی یا اینکه شماره تلفن، ضبط تماس‌ها و رونوشت‌های تماس کاربران را در معرض دید هر کاربر دیگری که می‌دانست کجا را جستجو کند، قرار داده است، نمی‌کند.

مشخص نیست که Neon چه زمانی دوباره آنلاین خواهد شد یا اینکه این نقص امنیتی توجه فروشگاه‌های اپلیکیشن را به خود جلب خواهد کرد یا خیر.

اپل و گوگل هنوز به درخواست‌های خبرنگار برای اظهار نظر در مورد اینکه آیا Neon با دستورالعمل‌های توسعه‌دهنده مربوطه خود مطابقت داشته است یا خیر، پاسخی نداده‌اند.

با این حال، این اولین بار نیست که یک برنامه با مشکلات امنیتی جدی وارد این بازارهای اپلیکیشن می‌شود. اخیراً، یک برنامه محبوب همراه دوستیابی تلفن همراه به نام Tea، دچار نقض داده شد که اطلاعات شخصی و مدارک شناسایی صادر شده توسط دولت کاربرانش را افشا کرد. برنامه‌های محبوبی مانند Bumble و Hinge در سال ۱۴۰۳ لو رفتند که موقعیت مکانی کاربران خود را فاش می‌کنند. هر دو فروشگاه همچنین باید به طور مرتب برنامه‌های مخربی را که از فرآیندهای بررسی برنامه خود عبور می‌کنند، پاکسازی کنند.

هنگامی که از کیام سؤال شد، او بلافاصله نگفت که آیا این برنامه قبل از راه‌اندازی تحت بررسی امنیتی قرار گرفته است یا خیر، و اگر چنین است، چه کسی این بررسی را انجام داده است. کیام همچنین در پاسخ به این سؤال که آیا این شرکت ابزارهای فنی، مانند گزارش‌ها، برای تعیین اینکه آیا شخص دیگری قبل از ما این نقص را پیدا کرده است یا خیر یا اینکه داده‌های کاربر به سرقت رفته است یا خیر، چیزی نگفت.

خبرنگار علاوه بر این با Upfront Ventures و Xfund تماس گرفت، که کیام در یک پست LinkedIn ادعا می‌کند در برنامه او سرمایه‌گذاری کرده‌اند. هیچ یک از این شرکت‌ها تا زمان انتشار این مطلب به درخواست‌های ما برای اظهار نظر پاسخ نداده‌اند.

منبع : techcrunch.com

اشتراک‌ها: