Вирусное приложение под названием Neon, предлагающее пользователям записывать телефонные звонки и получать за это деньги, чтобы затем продавать аудиоданные компаниям, занимающимся разработкой ИИ, стремительно вошло в топ-5 бесплатных приложений для iPhone после запуска на прошлой неделе. По данным аналитической платформы Appfigures, приложение уже имеет тысячи пользователей и было скачано 75 000 раз только за вчерашний день. Neon позиционирует себя как способ заработка за счёт предоставления записей звонков, которые используются для обучения и тестирования ИИ-моделей.
Однако приложение было временно отключено после того, как TechCrunch выявил серьёзную уязвимость: любой авторизованный пользователь мог получить доступ к телефонным номерам, записям звонков и их расшифровкам других пользователей. TechCrunch обнаружил проблему во время краткого тестирования приложения в четверг и оперативно сообщил о ней основателю Neon — Алексу Киаму, который ранее не отвечал на запросы о комментариях.
Позже в тот же день Киа сообщил, что отключил серверы приложения и начал уведомлять пользователей о приостановке работы, но не упомянул сам факт утечки данных. Приложение перестало функционировать вскоре после контакта с TechCrunch.
Причиной утечки стало отсутствие ограничений на серверной стороне: любой вошедший пользователь мог получить доступ к данным других. TechCrunch создал тестовый аккаунт на отдельном iPhone, подтвердил номер телефона и использовал инструмент анализа сетевого трафика Burp Suite для изучения взаимодействия приложения с сервером. После нескольких тестовых звонков приложение отобразило список последних вызовов и заработанную сумму за каждый. Однако Burp Suite выявил скрытые данные — текстовые расшифровки звонков и прямые ссылки на аудиофайлы, доступные без авторизации при наличии ссылки.
Серверы также могли выдавать записи и расшифровки звонков других пользователей, включая метаданные: номера телефонов, дату и время звонка, его длительность и сумму заработка. Анализ некоторых записей показал, что пользователи могли использовать приложение для скрытой записи реальных разговоров с целью монетизации.
После уведомления о проблеме Киа разослал клиентам письмо, в котором сообщил о временном отключении приложения для усиления безопасности. Однако в письме не было упоминания о самой уязвимости и факте утечки данных.
Неясно, когда Neon вернётся в онлайн и привлечёт ли инцидент внимание Apple и Google. Обе компании пока не прокомментировали соответствие приложения их требованиям. Это не первый случай, когда приложение с серьёзными проблемами безопасности попадает в магазины: ранее приложение Tea допустило утечку личных данных и документов, а Bumble и Hinge в 2024 году раскрывали местоположение пользователей. Магазины регулярно удаляют вредоносные приложения, прошедшие модерацию.
Киа не уточнил, проходило ли приложение аудит безопасности перед запуском и кто его проводил. Также неизвестно, есть ли у компании технические средства для определения, был ли кто-то ещё осведомлён об уязвимости или произошла ли кража данных. TechCrunch также обратился за комментариями к Upfront Ventures и Xfund, которые, по словам Киама в LinkedIn, инвестировали в Neon. На момент публикации ответа от них не поступило.
Оригинал
Уникальность
