Grave fallo de seguridad en la app para grabar llamadas «Call Recorder»

Call Recorder

La app para iOS Call Recorder, una de tantas que permiten grabar conversaciones telefónicas, ha sufrido un importante fallo de seguridad que ha dejado al descubierto las grabaciones de 130.000 de esas llamadas registradas por los usuarios.

El fallo permitía acceder a las grabaciones de las llamadas con sólo conocer el número de la línea móvil

Un analista de seguridad de la empresa PingSafe AI fue quien descubrió el fallo que permitía acceder a las grabaciones y a más información de los usuarios de Call Recorder como el historial de llamadas y los números de teléfono desde donde se efectuaban las llamadas. Con sólo conocer el número de la línea de móvil se podía acceder a la URL donde se almacenaban las llamadas, hasta un total de 130.000 grabaciones.

Bastaba simplemente con sustituir en la propia app el número de teléfono por otro y de esa forma tan sencilla se ganaba acceso al archivo de llamadas grabadas por otro usuario. Estas se encuentran almacenadas en un espacio online que Call Recorder tiene contratado con AWS (Amazon Web Services), junto a otros datos relacionados con los usuarios y sus cuentas que afortunadamente sí están protegidos adecuadamente y no son accesibles.

El analista que localizó el fallo de seguridad, Anand Prakash, alertó de inmediato a los desarrolladores (los hechos tuvieron lugar el pasado 27 de febrero), pero no obtuvo respuesta por parte de Call Recorder. Con posterioridad contactó con Tech Crunch, quienes se hicieron eco de la noticia y entonces sí se pusieron en marcha desde Call Recorder y no tardaron más que unas horas en solucionar la vulnerabilidad.

Call Recorder permite también almacenar las grabaciones de las llamadas en espacios en la Nube de que disponga el propio usuario (Dropbox, Google Drive, One Drive…) así como enviarlas a otras plataformas como Slack, pero el fallo afectaba únicamente a las grabaciones que se mantenían en el espacio reservado por la propia app en los servicios de AWS.

También la red social True ha experimentado un importante fallo de seguridad.

Antonio Rentero

Comunicador especializado en tecnología y cine. Jurista especializado en protección de datos. Curioso especializado en prácticamente todo.

Deja un comentario

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: TreceBits S.L. (TreceBits)
Finalidad: Que puedan comentar las noticias publicadas
Legitimación: Consentimiento del interesado. Satisfacción del interés legítimo del Responsable.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: [email protected].
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.