Grave fallo de seguridad en la app para grabar llamadas «Call Recorder»

Call Recorder

La app para iOS Call Recorder, una de tantas que permiten grabar conversaciones telefónicas, ha sufrido un importante fallo de seguridad que ha dejado al descubierto las grabaciones de 130.000 de esas llamadas registradas por los usuarios.

El fallo permitía acceder a las grabaciones de las llamadas con sólo conocer el número de la línea móvil

Un analista de seguridad de la empresa PingSafe AI fue quien descubrió el fallo que permitía acceder a las grabaciones y a más información de los usuarios de Call Recorder como el historial de llamadas y los números de teléfono desde donde se efectuaban las llamadas. Con sólo conocer el número de la línea de móvil se podía acceder a la URL donde se almacenaban las llamadas, hasta un total de 130.000 grabaciones.

Bastaba simplemente con sustituir en la propia app el número de teléfono por otro y de esa forma tan sencilla se ganaba acceso al archivo de llamadas grabadas por otro usuario. Estas se encuentran almacenadas en un espacio online que Call Recorder tiene contratado con AWS (Amazon Web Services), junto a otros datos relacionados con los usuarios y sus cuentas que afortunadamente sí están protegidos adecuadamente y no son accesibles.

El analista que localizó el fallo de seguridad, Anand Prakash, alertó de inmediato a los desarrolladores (los hechos tuvieron lugar el pasado 27 de febrero), pero no obtuvo respuesta por parte de Call Recorder. Con posterioridad contactó con Tech Crunch, quienes se hicieron eco de la noticia y entonces sí se pusieron en marcha desde Call Recorder y no tardaron más que unas horas en solucionar la vulnerabilidad.

Call Recorder permite también almacenar las grabaciones de las llamadas en espacios en la Nube de que disponga el propio usuario (Dropbox, Google Drive, One Drive…) así como enviarlas a otras plataformas como Slack, pero el fallo afectaba únicamente a las grabaciones que se mantenían en el espacio reservado por la propia app en los servicios de AWS.

Antonio Rentero

Comunicador especializado en tecnología y cine. Jurista especializado en protección de datos. Curioso especializado en prácticamente todo.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    • TreceBits te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Manuel Moreno Molina (TreceBits) como responsable de esta web.
    • La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar la solicitud que realizas en este formulario de contacto.
    • Legitimación: Consentimiento del interesado.
    • Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de SiteGround Spain S.L. (proveedor de hosting de TreceBits). SiteGround Spain S.L. está ubicado en la UE, cuyo nivel de protección son adecuados según Comisión de la UE. Ver política de privacidad de SiteGround Spain S.L.
    • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@trecebits.com así como el derecho a presentar una reclamación ante una autoridad de control.
    • Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad.