Call-Recorder-App fürs iPhone könnte Aufnahmen geleakt haben
Aufgrund eines Programmierfehlers seien "Tausende Konversationen" für Unberechtigte abrufbar gewesen sein, berichtet ein Sicherheitsforscher.
Zum Aufnehmen von iPhone-Gesprächen bedarf es externer Apps.
(Bild: Shutterstock/New Africa)
Eine bekannte iOS-App zum Aufnehmen von Telefongesprächen soll große Mengen an Aufzeichnungen für Unberechtigte zugänglich gemacht haben. Grund sei ein Programmierfehler gewesen, berichtet der Sicherheitsforscher Anand Prakash von PingSafe AI. Die App namens Call Recorder verwendet Amazon Web Services (AWS) zum Speichern der Aufnahmen.
Telefonnummer war austauschbar
Mit Hilfe des Proxywerkzeugs Burp Suite gelang es Prakash, den Traffic von Call Recorder zu analysieren. Dabei stellte er fest, dass es trivial möglich war, die Telefonnummer auszutauschen und an das Cloud-Backend von Call Recorder zu senden. Daraufhin war es möglich, auf alle Aufnahmen dieser Person zuzugreifen, die bei AWS hinterlegt waren – einfach über die App selbst. Eine Authentifizierung fand offenbar nicht statt, da der App blind vertraut wurde.
130.000 Aufnahmen potenziell absaugbar
Potenziell waren so bis zu 300 Gigabytes an Daten zugänglich, wenn man nach der Größe des betroffenen Buckets geht – mit über 130.000 Aufnahmen, wie Sicherheitsforscher Prakash dem IT-Blog TechCrunch mitteilte. Dort konnte man das Verhalten mit einem Test-iPhone nachvollziehen.
Aktuell ist unklar, ob die Lücke von Dritten ausgenutzt wurde oder Prakash der erste Nutzer war, dem sie aufgefallen ist. Nachdem er den Entwickler von Call Recorder benachrichtigt hatte, sperrte der zunächst den AWS-Bucket. Mittlerweile wurde eine neue Version der App publiziert. Bei dieser heißt es im Beipackzettel, "ein Sicherheitsbericht" werde damit "gepatcht".
Hoher In-App-Abo-Preis
Call Recorder ist beliebt. Die Software wurde laut ihrem Entwickler über eine Million mal heruntergeladen und soll eine Top-20-Business-App in 20 Ländern gewesen sein. Aufgrund des hohen In-App-Abopreises von 7,49 Euro pro Woche gibt es aber auch Kritik, teilweise verbinde sich die App zudem einfach nicht, heißt es in Nutzerkritiken.
Tools wie dieses werden von Nutzern verwendet, weil iOS das Aufzeichnen von Anrufen aus Datenschutzgründen nicht erlaubt. Call Recorder leitet Gespräche daher über eine eigene Vermittlung um und verbindet diese. Aufnahmen ohne Genehmigung des Gesprächspartners können in Deutschland strafbar sein. (bsc)
