Evan Connelly adıyla bir güvenlik araştırmacısı, birkaç hafta önce milyonlarca ilgimi çeken rahatsız edici, ancak süper önemli bir keşif yaptı. Verizon kullanıcıları: Burada bir gizlilik ihlali hakkında konuşuyoruz.
Onun üzerine yazarken blogbir güvenlik açığı belirledi VerizonKötü bir aktörün çağrı geçmişi günlüklerini almasını ve görmesini sağlayan iPhone ve iOS cihazları için arama filtresi uygulaması Verizon kullanıcılar.
Hatanın, bazı teknik bilgiye sahip herkesin gelen çağrı geçmişine erişmesine izin verdiğini dikkate alırken, sorun gerçekleşiyor. Verizon Telefon numarası – bir telefona hacklemeye gerek kalmadan, bir şifre tahmin edin, hatta kurbanı uyarın.
Sorunun özünde, uygulamanın çağrı günlüğü verileri istediği ve aldığı konusunda bir güvenlik açığı vardı. Kullanıcılar uygulamayı son çağrıları görüntülemek için açtığında, uzak bir sunucuya bir istek gönderir, kullanıcının telefon numarasını tanımlar ve eşleşen kayıtlar istemektedir. Bu sıkı bir şekilde kısıtlanmış olmalı, bu nedenle yalnızca uygulamaya giriş yapan kişi kendi verilerini görebilirdi.
Savunmasız bir istek örneği. | Resim Kredisi – Evan Connelly
Uygulamanın arka ucunun, talebin gerçek hesap sahibinden geldiğini doğru bir şekilde doğrulayamadığı ortaya çıktı. Bu, meraklı veya kötü niyetli bir aktörün, başkasının numarasını istemek ve geri dönüş günlüğünü alma talebini değiştirebileceği anlamına geliyordu. Şifre yok, izin yok, sadece bir sayı ve biraz bilgi birikimi.
Açık olmak gerekirse, bu hata kısa mesajları veya tam konuşmaları ortaya çıkarmadı. Ancak sadece gelen çağrı geçmişine erişim bile derinden açıklayıcıdır. Zaman damgaları ve sık sayılar, bir kişinin alışkanlıklarının, kişilerinin ve nerede olduğu şaşırtıcı derecede ayrıntılı bir resmini çizebilir. Gazeteciler, aktivistler, polis memurları veya istismar mağdurları için bu tür bir sızıntı inanılmaz derecede tehlikeli olabilir.
Dahası, bu kusurun arkasındaki sistem doğrudan tarafından yönetilmedi. Verizonancak Caller Id Tech konusunda uzmanlaşmış Cequint adlı daha az bilinen bir şirket tarafından. Bu, üçüncü taraflar tarafından ne kadar kullanıcı verisinin ele alındığı ve verilerin gerçekten ne kadar güvenli olduğu hakkında ek sorular ortaya çıkarır.
Evan, Şubat 2025’te hatayı buldu ve bildirdi. Verizon O zamandan beri sorunu düzeltti, ancak maruziyet birçok kullanıcıyı etkileyebilirdi, özellikle çağrı filtresi muhtemelen çoğu için varsayılan olarak etkin olduğu için Verizon Müşteriler. Sizi kim arayan basit bir kontrol eyleminin bile gizliliğinizin pahasına gelmemesi gerektiğini hatırlatıyor.
Bipingcomputerhikaye hakkında da bildirilen, iletişime geçildi Verizon Ve taşıyıcının yanıtı Verizon “Üçüncü taraf uygulama sahibi ile bir düzeltme ve yama üzerinde çalıştı”, daha sonra Mart ortasında itildi. Şirket, “kusurun kullanıldığına dair hiçbir belirti yok” ve “sadece iOS cihazlarını etkiledi” olduğunu iddia ediyor, ancak şimdi sorun “çözüldü”.
