Популярний додаток для запису дзвінків Neon вимикається після крадіжки номерів телефонів користувачів та транскриптів

Вірусний додаток під назвою Neon, який пропонує записувати телефонні дзвінки та платити за аудіо, щоб потім продавати ці дані компаніям, що займаються штучним інтелектом, швидко піднявся до п'ятірки найкращих безплатних додатків для iPhone з моменту свого запуску минулого тижня.

За даними постачальника аналітики додатків Appfigures, додаток вже має тисячі користувачів, і лише вчора його було завантажено 75 000 разів. Neon позиціонує себе як спосіб для користувачів заробляти гроші, надаючи записи дзвінків, які допомагають навчати, вдосконалювати та тестувати моделі штучного інтелекту

Але Neon вийшов з офлайн-програми, принаймні наразі, після того, як недолік безпеки дозволив будь-кому отримати доступ до номерів телефонів, записів дзвінків та стенограм будь-якого іншого користувача, повідомляє TechCrunch.

TechCrunch виявив недолік безпеки під час короткого тестування програми у четвер. Ми повідомили про недолік засновника програми Алекса Кіама (який раніше не відповів на запит про коментарі щодо програми ) невдовзі після нашого виявлення. 

Пізніше у четвер Кіам розповів TechCrunch, що він вимкнув сервери програми та почав повідомляти користувачів про призупинення її роботи, але не повідомив їх про прогалину в безпеці.

 Додаток Neon перестав працювати невдовзі після того, як ми зв'язалися з Кіамом.

Викрито записи та стенограми дзвінків

Виною було те, що сервери програми Neon не запобігали доступу жодного зареєстрованого користувача до даних інших користувачів.

TechCrunch створив новий обліковий запис користувача на спеціальному iPhone та підтвердив номер телефону в рамках процесу реєстрації. Ми використали інструмент аналізу мережевого трафіку під назвою Burp Suite, щоб перевірити мережеві дані, що надходять до програми Neon та виходять з неї, що дозволило нам зрозуміти, як програма працює на технічному рівні, наприклад, як програма взаємодіє зі своїми серверами.

Після кількох тестових телефонних дзвінків додаток показав нам список наших останніх дзвінків та суму, яку ми заробили за кожен дзвінок. Але наш інструмент аналізу мережі виявив деталі, які не були видимі звичайним користувачам додатка Neon. Ці деталі включали текстову стенограму дзвінка та веб-адресу аудіофайлів, до яких кожен міг отримати публічний доступ, маючи посилання.

Наприклад, тут ви можете побачити стенограму нашої тестової розмови між двома репортерами TechCrunch, яка підтверджує, що запис працював належним чином.

Але сервери-бекенди також були здатні видавати купи записів дзвінків інших людей та їхні стенограми.

В одному випадку TechCrunch виявив, що сервери Neon могли створювати дані про останні дзвінки, здійснені користувачами програми, а також надавати публічні веб-посилання на їхні необроблені аудіофайли та текст розшифровки того, що було сказано під час дзвінка. (Аудіофайли містять записи лише тих, хто встановив Neon, а не тих, з ким вони зв’язувалися.)

Аналогічно, сервери Neon можна було маніпулювати, щоб вони розкривали записи останніх дзвінків (також відомі як метадані ) від будь-якого з їхніх користувачів. Ці метадані містили номер телефону користувача та номер телефону особи, якій він телефонує, коли було здійснено дзвінок, його тривалість та скільки грошей було зароблено за кожен дзвінок.

Огляд кількох стенограм та аудіофайлів свідчить про те, що деякі користувачі можуть використовувати додаток для здійснення тривалих дзвінків, які таємно записують реальні розмови з іншими людьми, щоб заробляти гроші через додаток.

Додаток тимчасово вимикається

Невдовзі після того, як ми повідомили Neon про недолік у четвер, засновник компанії Кіам надіслав клієнтам електронного листа з попередженням про закриття програми. 

«Конфіденційність ваших даних є нашим пріоритетом, і ми хочемо переконатися, що вони повністю захищені навіть у цей період швидкого зростання. Через це ми тимчасово закриваємо додаток, щоб додати додаткові рівні безпеки», – йдеться в електронному листі, опублікованому TechCrunch.

Примітно, що в електронному листі не згадується про прогалину в безпеці або про те, що номери телефонів користувачів, записи дзвінків та стенограми дзвінків були розкриті будь-якому іншому користувачеві, який знав, де шукати.

Незрозуміло, коли Neon знову з'явиться в мережі, і чи приверне цей провал у безпеці увагу магазинів додатків. 

Apple та Google поки що не прокоментували звернення TechCrunch щодо того, чи відповідає Neon їхнім відповідним інструкціям для розробників. 

Однак, це не перший випадок, коли додаток із серйозними проблемами безпеки потрапляє на ці торговельні майданчики. Нещодавно популярний додаток для мобільних знайомств Tea зазнав витоку даних , в результаті якого було розкрито особисту інформацію його користувачів та документи, що посвідчують особу уряду. Популярні додатки, такі як Bumble та Hinge, були спіймані у 2024 році на розкритті місцезнаходження своїх користувачів. Обидва магазини також повинні регулярно видаляти шкідливі додатки , які проходять повз їхні процеси перевірки додатків. 

На запитання Кіама він не одразу повідомив, чи проходив додаток якусь перевірку безпеки перед запуском, і якщо так, то хто її проводив. Кіам також не сказав, чи має компанія технічні засоби, такі як журнали, щоб визначити, чи хтось інший виявив цей недолік перед нами, або чи були викрадені якісь дані користувача.

TechCrunch також звернувся до Upfront Ventures та Xfund, які, за словами Кіама у дописі LinkedIn, інвестували в його додаток. Жодна з компаній не відповіла на наші запити про коментарі на момент публікації.