В сервисе Neon Mobile для заработка на звонках нашли уязвимости

Популярное в США приложение Neon Mobile, которое платит пользователям за запись их телефонных звонков и передачу данных ИИ-компаниям, временно отключили. В его работе нашли серьёзную уязвимость, которая позволяла получить доступ к чужим разговорам, стенограммам и номерам телефонов.

Журналисты TechCrunch выяснили, что серверы Neon не блокировали доступ зарегистрированных пользователей к чужим данным. В редакции создали новую учётную запись пользователя на iPhone и подтвердили номер телефона в процессе регистрации. Затем журналисты использовали инструмент анализа сетевого трафика Burp Suite для проверки данных, входящих и исходящих из приложения Neon, что позволило им понять, как работает приложение на техническом уровне, например, как оно взаимодействует со своими внутренними серверами. После нескольких тестовых звонков приложение выдало список последних звонков и сумму дохода за каждый. Однако инструмент анализа сети выявил детали, которые включали текстовую расшифровку звонка и веб-адрес аудиофайлов, к которым любой мог получить публичный доступ при наличии ссылки. 

В одном случае в TechCrunch обнаружили, что серверы Neon могли собирать данные о последних звонках, совершённых пользователями приложения, а также предоставлять общедоступные веб-ссылки на необработанные аудиофайлы и текст расшифровки разговора. Аналогичным образом, серверы можно было использовать для раскрытия последних записей звонков любого из пользователей. Эти метаданные содержали номер телефона самого юзера и номер телефона вызываемого абонента, время звонка, его продолжительность и сумму дохода за каждый.

Анализ нескольких расшифровок и аудиофайлов позволяет предположить, что некоторые пользователи используют приложение для скрытой записи реальных