Cyberthreat.id – Aplikasi perekam panggilan berbasis iOS, Automatic call recorder atau Acr call recorder, merilis tambalan keamanan atas kerentanan yang memungkinkan siapa saja mengakses ke percakapan ribuan pengguna.

Kerentanan itu bisa dieksploitasi oleh peretas yang cukup mengetahui nomor telepon seluler yang benar, demikian seperti dikutip dari BleepingComputer, diakses Rau (10 Maret 2021).

Aplikasi tersebut mendapat ribuan ulasan pengguna di App Store dengan peringkat di atas 4 bintang—termasuk aplikasi perekam panggilan teratas di iPhone. Di situs webnya, pengembang mengklaim telah memiliki lebih dari satu juta unduhan dari pengguna di lebih dari 20 negara.

Kerentanan itu ditemukan oleh peneliti keamanan siber juga pendiri PingSafe AI, Anand Prakash. Dengan teknologi kecerdasan buatan, ia menemukan penyimpanan cloud aplikasi di Amazon Web Services.

Menurut dia, jika ada peretas yang menerobos lalu lintas jaringan aplikasi melalui web proxy tool seperti Burp atau Zap, mereka dapat memasukkan nomor seluler pengguna aplikasi mana saja dalam permintaan rekaman.

Masalah itu dipicu lantaran respons API (antarmuka pemrograman aplikasi) tidak menjalankan otentikasi apa pun. Tak hanya itu, kerentanan itu juga bisa membocorkan seluruh riwayat panggilan pengguna, kata Prakash.

Dalam mengungkapkan itu, Prakash bekerja sama dengan media berita teknologi TechCrunch. Perwakilan TechCrunch, Zack Whitttaker, berperan menghubungi pengembang aplikasi terkait kerentanan tersebut.

Dalam risetnya itu, mereka menemukan keranjang penyimpanan aplikasi di AWS berisi lebih dari 130.000 rekaman panggilan dengan ukuran file sebesar 300 gigabita.[]