Um aplicativo viral chamado Neon, que se oferece para gravar suas ligações e pagar pelo áudio para que possa vender esses dados para empresas de IA, subiu rapidamente para as fileiras dos cinco principais aplicativos gratuitos do iPhone desde o seu lançamento na semana passada.
O aplicativo já possui milhares de usuários e foi baixado 75.000 vezes ontem, de acordo com o aplicativo Appfigures do provedor de inteligência de aplicativos. O neon se destaca como uma maneira de os usuários fazer, fornecendo gravações de chamadas que ajudam a treinar, melhorar e testar os modelos de IA.
Mas agora Neon ficou offline, pelo menos por enquanto, depois que uma falha de segurança permitiu que qualquer pessoa acesse os números de telefone, as gravações e as transcrições de qualquer outro usuário, o TechCrunch agora pode se reportar.
O TechCrunch descobriu a falha de segurança durante um breve teste do aplicativo na quinta -feira. Alertamos o fundador do aplicativo, Alex Kiam (que anteriormente não respondeu a um pedido de comentário sobre o aplicativo), à falha brand após a nossa descoberta.
Kiam disse ao TechCrunch na quinta -feira que derrubou os servidores do aplicativo e começou a notificar os usuários sobre a pausa do aplicativo, mas ficou aquém de informar seus usuários sobre o lapso de segurança.
O aplicativo de neon parou de funcionar brand depois de entrarmos em contato com Kiam.
Gravações de chamadas e transcrições expostas
Por culpa estava o fato de que os servidores do aplicativo de neon não estavam impedindo que nenhum usuário conectado a acessar os dados de outra pessoa.
O TechCrunch criou uma nova conta de usuário em um iPhone dedicado e verificou um número de telefone como parte do processo de inscrição. Utilizamos uma ferramenta de análise de tráfego de rede chamada Burp Suite para inspecionar os dados de rede que fluem dentro e fora do aplicativo Neon, permitindo-nos entender como o aplicativo funciona em um nível técnico, como como o aplicativo se comunica com seus servidores de back-end.
Depois de fazer algumas ligações telefônicas, o aplicativo nos mostrou uma lista de nossas chamadas mais recentes e quanto dinheiro cada chamada ganhou. Mas nossa ferramenta de análise de rede revelou detalhes que não eram visíveis para usuários regulares no aplicativo Neon. Esses detalhes incluíram a transcrição baseada em texto da chamada e um endereço da Internet para os arquivos de áudio, que qualquer pessoa poderia acessar publicamente, desde que tivesse o hyperlink.
Por exemplo, aqui você pode ver a transcrição da nossa chamada de teste entre dois repórteres do TechCrunch confirmando que a gravação funcionou corretamente.
Mas os servidores de again -end também eram capazes de cuspir resmas das gravações de chamadas de outras pessoas e suas transcrições.
Em um caso, o TechCrunch descobriu que os servidores neon poderiam produzir dados sobre as chamadas mais recentes feitas pelos usuários do aplicativo, além de fornecer hyperlinks públicos da Internet para seus arquivos de áudio bruto e o texto da transcrição do que foi dito na chamada. (Os arquivos de áudio contêm gravações apenas daqueles que instalaram neon, não aqueles que entraram em contato.)
Da mesma forma, os servidores neon podem ser manipulados para revelar os registros de chamadas mais recentes (também conhecidos como metadados) de qualquer usuário de seus usuários. Esses metadados continham o número de telefone do usuário e o número de telefone da pessoa que eles estão chamando, quando a chamada foi feita, sua duração e quanto dinheiro cada chamada ganhou.
Uma revisão de um punhado de transcrições e arquivos de áudio sugere que alguns usuários podem estar usando o aplicativo para fazer chamadas longas que gravam secretamente conversas no mundo actual com outras pessoas, a fim de gerar dinheiro através do aplicativo.
O aplicativo é desligado, por enquanto
Emblem depois que alertamos o Neon para a falha na quinta -feira, o fundador da empresa, Kiam, enviou um e -mail aos clientes alertando -os para o desligamento do aplicativo.
“Sua privacidade de dados é a nossa prioridade número um e queremos garantir que ele esteja totalmente seguro, mesmo durante esse período de crescimento rápido. Por isso, estamos temporariamente retirando o aplicativo para adicionar camadas extras de segurança”, diz o e mail, compartilhado com o TechCrunch.
Notavelmente, o e mail não menciona um lapso de segurança ou que expôs os números de telefone dos usuários, ligue para gravações e ligue para qualquer outro usuário que soubesse onde procurar.
Não está claro quando o neon voltará on-line ou se esse lapso de segurança ganhará a atenção das lojas de aplicativos.
A Apple e o Google ainda não responderam aos pedidos de comentários da TechCrunch sobre se o Neon estava ou não em conformidade com suas respectivas diretrizes de desenvolvedor.
No entanto, não seria a primeira vez que um aplicativo com sérios problemas de segurança chega a esses mercados de aplicativos. Recentemente, um aplicativo widespread de companheiro de namoro móvel, Tea, experimentou uma violação de dados, que expôs as informações pessoais de seus usuários e os documentos de identidade emitidos pelo governo. Aplicativos populares como Bumble e Hinge foram capturados em 2024, expondo os locais de seus usuários. Ambas as lojas também precisam limpar regularmente aplicativos maliciosos que ultrapassaram seus processos de revisão de aplicativos.
Quando perguntado, Kiam não disse imediatamente se o aplicativo havia passado por qualquer revisão de segurança antes do seu lançamento e, em caso afirmativo, que realizou a revisão. Kiam também não disse, quando perguntado, se a empresa tem os meios técnicos, como logs, para determinar se alguém mais encontrou a falha diante de nós ou se algum dado do usuário foi roubado.
TechCrunch também estendeu a mão para empreendimentos iniciais e XFUND, que Kiam afirma uma postagem do LinkedIn investiram em seu aplicativo. Nenhuma das empresas respondeu aos nossos pedidos de comentário como publicação.
