Уязвимость в приложении Neon: утечка записей звонков

Приложение Neon, предлагающее записывать телефонные разговоры с последующей оплатой за аудиоданные для продажи компаниям искусственного интеллекта, стремительно вошло в пятёрку самых популярных бесплатных программ для iPhone с момента запуска на прошлой неделе.

Согласно данным аналитической компании Appfigures, у сервиса уже тысячи пользователей, причём только вчера было зафиксировано 75 000 загрузок. Разработчики позиционируют Neon как способ заработка для пользователей, предоставляющих записи разговоров для обучения, совершенствования и тестирования моделей ИИ.

Однако приложение временно прекратило работу после обнаружения уязвимости безопасности, позволявшей любому пользователю получать доступ к телефонным номерам, аудиозаписям и расшифровкам разговоров других клиентов сервиса.

Проблема заключалась в том, что серверы приложения не предотвращали доступ авторизованных пользователей к чужим данным.

В ходе технического анализа было установлено, что приложение отображало не только список последних звонков и сумму заработка за каждый разговор, но и предоставляло текстовые расшифровки бесед, а также публичные ссылки на аудиофайлы, доступные любому, кто обладает соответствующей ссылкой.

Кроме того, серверы Neon позволяли получать метаданные любых пользователей, включая их телефонные номера, контакты абонентов, время и продолжительность разговоров, а также размер вознаграждения за каждый звонок.

Анализ некоторых расшифровок и аудиозаписей свидетельствует, что отдельные пользователи могут применять приложение для длительных разговоров с тайной записью реальных бесед с целью генерации дохода через сервис.

Вскоре после уведомления об уязвимости основатель Neon Алекс Киам отправил клиентам письмо с информацией о временном отключении приложения.

В сообщении говорилось: «Конфиденциальность ваших данных является нашим главным приоритетом, и мы хотим обеспечить их полную безопасность даже в этот период быстрого роста. По этой причине мы временно отключаем приложение для добавления дополнительных уровней защиты».

Примечательно, что в письме не упоминается о нарушении безопасности или о том, что произошла утечка телефонных номеров пользователей, записей и расшифровок разговоров.

На данный момент неясно, когда Neon возобновит работу и привлечёт ли инцидент внимание магазинов приложений.

Это не первый случай, когда программы с серьёзными проблемами безопасности появляются в официальных маркетах. Недавно популярное приложение для знакомств Tea столкнулось с утечкой данных, раскрывшей личную информацию пользователей и их удостоверения личности. Такие известные сервисы, как Bumble и Hinge, в 2024 году также допускали раскрытие местоположения своих клиентов.

На вопрос о том, проходило ли приложение проверку безопасности перед запуском, Киам не дал немедленного ответа. Также не было указано, обладает ли компания техническими средствами для определения, обнаружил ли кто-то ещё данную уязвимость до этого или была ли украдена какая-либо пользовательская информация.