Aplikacioni viral i regjistrimit të thirrjeve Neon mbyllet pasi ekspozoi numrat e telefonit, regjistrimet dhe transkriptet e përdoruesve
Një aplikacion viral i quajtur Neon, i cili ofron regjistrimin e thirrjeve tuaja telefonike dhe pagesën për audion në mënyrë që t’ua shesë këto të dhëna kompanive të inteligjencës artificiale, është ngjitur me shpejtësi në radhët e pesë aplikacioneve më të mira falas për iPhone që nga lançimi i tij javën e kaluar.
Aplikacioni tashmë ka mijëra përdorues dhe u shkarkua 75,000 herë vetëm dje, sipas ofruesit të inteligjencës së aplikacioneve Appfigures. Neon e prezanton veten si një mënyrë për përdoruesit për të fituar para duke ofruar regjistrime thirrjesh që ndihmojnë në trajnimin, përmirësimin dhe testimin e modeleve të inteligjencës artificiale.
Por Neon është mbyllur, të paktën për momentin, pasi një defekt sigurie i lejoi kujtdo të kishte akses në numrat e telefonit, regjistrimet e thirrjeve dhe transkriptet e çdo përdoruesi tjetër, raporton TechCrunch.
TechCrunch zbuloi të metën e sigurisë gjatë një testimi të shkurtër të aplikacionit të enjten. Ne e njoftuam themeluesin e aplikacionit, Alex Kiam (i cili më parë nuk iu përgjigj një kërkese për koment në lidhje me aplikacionin ), për të metën menjëherë pas zbulimit tonë.
Kiam i tha TechCrunch më vonë të enjten se ai i çaktivizoi serverat e aplikacionit dhe filloi të njoftonte përdoruesit për ndërprerjen e aplikacionit, por nuk i informoi përdoruesit e tij për lëshimin e sigurisë.
Aplikacioni Neon ndaloi së funksionuari menjëherë pasi kontaktuam Kiamin.
Faji ishte fakti që serverët e aplikacionit Neon nuk po pengonin asnjë përdorues të kyçur të hynte në të dhënat e dikujt tjetër.
TechCrunch krijoi një llogari të re përdoruesi në një iPhone të dedikuar dhe verifikoi një numër telefoni si pjesë të procesit të regjistrimit. Ne përdorëm një mjet analize të trafikut të rrjetit të quajtur Burp Suite për të inspektuar të dhënat e rrjetit që hynin dhe dilnin nga aplikacioni Neon, duke na lejuar të kuptojmë se si funksionon aplikacioni në një nivel teknik, siç është mënyra se si aplikacioni komunikon me serverat e tij të brendshëm.
Pasi bëmë disa telefonata provë, aplikacioni na tregoi një listë të telefonatave tona më të fundit dhe sa para fitonte secila telefonatë. Por mjeti ynë i analizës së rrjetit zbuloi detaje që nuk ishin të dukshme për përdoruesit e rregullt në aplikacionin Neon. Këto detaje përfshinin transkriptin me tekst të telefonatës dhe një adresë interneti për skedarët audio, të cilët kushdo mund t’i qasej publikisht për sa kohë që kishte lidhjen.
Për shembull, këtu mund të shihni transkriptin nga telefonata jonë provë midis dy gazetarëve të TechCrunch që konfirmon se regjistrimi funksionoi siç duhet.
Por serverat e prapavijës ishin gjithashtu të aftë të nxirrnin sasi të mëdha të regjistrimeve të thirrjeve të njerëzve të tjerë dhe transkriptet e tyre.
Në një rast, TechCrunch zbuloi se serverët Neon mund të prodhonin të dhëna rreth thirrjeve më të fundit të bëra nga përdoruesit e aplikacionit, si dhe të ofronin lidhje publike në internet për skedarët e tyre audio të papërpunuar dhe tekstin e transkriptimit të asaj që u tha në thirrje. (Skedarët audio përmbajnë regjistrime vetëm të atyre që instaluan Neon, jo të atyre që ata kontaktuan.)
Në mënyrë të ngjashme, serverët Neon mund të manipuloheshin për të zbuluar të dhënat më të fundit të thirrjeve (të njohura edhe si meta të dhëna ) nga çdo përdorues i tyre. Këto meta të dhëna përmbanin numrin e telefonit të përdoruesit dhe numrin e telefonit të personit që po telefononin, kur është bërë thirrja, kohëzgjatjen e saj dhe sa para fitonte secila thirrje.
Një shqyrtim i një numri të vogël transkriptesh dhe skedarësh audio sugjeron se disa përdorues mund ta përdorin aplikacionin për të bërë thirrje të gjata që regjistrojnë fshehurazi biseda të botës reale me njerëz të tjerë, me qëllim që të gjenerojnë para përmes aplikacionit.
Menjëherë pasi njoftuam Neon për defektin të enjten, themeluesi i kompanisë, Kiam, u dërgoi një email klientëve duke i njoftuar ata për mbylljen e aplikacionit.
“Privatësia e të dhënave tuaja është përparësia jonë numër një dhe ne duam të sigurohemi që ato janë plotësisht të sigurta edhe gjatë kësaj periudhe rritjeje të shpejtë. Për shkak të kësaj, ne po e çaktivizojmë përkohësisht aplikacionin për të shtuar shtresa shtesë sigurie”, thuhet në emailin e ndarë me TechCrunch.
Veçanërisht, emaili nuk përmend asnjë lëshim sigurie ose që ekspozoi numrat e telefonit të përdoruesve, regjistrimet e thirrjeve dhe transkriptet e thirrjeve ndaj çdo përdoruesi tjetër që dinte se ku të kërkonte.
Është e paqartë se kur Neon do të kthehet në internet ose nëse kjo mangësi sigurie do të tërheqë vëmendjen e dyqaneve të aplikacioneve.
Apple dhe Google nuk kanë komentuar ende pas njoftimit të TechCrunch nëse Neon ishte apo jo në përputhje me udhëzimet e tyre përkatëse për zhvilluesit.
Megjithatë, kjo nuk do të ishte hera e parë që një aplikacion me probleme serioze sigurie ka hyrë në këto tregje aplikacionesh. Kohët e fundit, një aplikacion shoqërues i njohur për takime në celular, Tea, përjetoi një shkelje të të dhënave, e cila ekspozoi informacionin personal të përdoruesve të tij dhe dokumentet e identitetit të lëshuara nga qeveria. Aplikacione të njohura si Bumble dhe Hinge u kapën në vitin 2024 duke ekspozuar vendndodhjet e përdoruesve të tyre. Të dy dyqanet gjithashtu duhet të pastrojnë rregullisht aplikacionet keqdashëse që u shpëtojnë proceseve të tyre të shqyrtimit të aplikacioneve.
Kur u pyet, Kiam nuk tha menjëherë nëse aplikacioni i ishte nënshtruar ndonjë shqyrtimi sigurie përpara lançimit të tij, dhe nëse po, kush e kreu shqyrtimin. Kiam gjithashtu nuk tha, kur u pyet nëse kompania ka mjetet teknike, siç janë regjistrat, për të përcaktuar nëse dikush tjetër e ka gjetur të metën para nesh ose nëse janë vjedhur të dhëna përdoruesi.
TechCrunch gjithashtu kontaktoi Upfront Ventures dhe Xfund, të cilat Kiam pretendon në një postim në LinkedIn se kanë investuar në aplikacionin e tij. Asnjëra firmë nuk i është përgjigjur kërkesave tona për koment që nga publikimi.