Một ứng dụng lan truyền có tên Neon, cung cấp ghi lại các cuộc gọi điện thoại của bạn và trả tiền cho bạn cho âm thanh để có thể bán dữ liệu đó cho các công ty AI, đã nhanh chóng tăng lên hàng ngũ ứng dụng iPhone miễn phí hàng đầu kể từ khi ra mắt vào tuần trước.
Ứng dụng đã có hàng ngàn người dùng và đã được tải xuống 75.000 lần ngày hôm qua, theo ứng dụng của nhà cung cấp thông minh ứng dụng. Neon tự ném mình như một cách để người dùng thực hiện bằng cách cung cấp các bản ghi cuộc gọi giúp đào tạo, cải thiện và kiểm tra các mô hình AI.
Nhưng bây giờ Neon đã ngoại tuyến, ít nhất là bây giờ, sau khi lỗ hổng bảo mật cho phép bất cứ ai truy cập số điện thoại, bản ghi cuộc gọi và bảng điểm của bất kỳ người dùng nào khác, TechCrunch hiện có thể báo cáo.
TechCrunch đã phát hiện ra lỗ hổng bảo mật trong một thử nghiệm ngắn của ứng dụng vào thứ năm. Chúng tôi đã cảnh báo người sáng lập ứng dụng, Alex Kiam (người trước đây đã không trả lời yêu cầu bình luận về ứng dụng), với lỗ hổng ngay sau khi chúng tôi khám phá.
Kiam nói với TechCrunch sau đó hôm thứ Năm rằng anh ta đã gỡ các máy chủ của ứng dụng xuống và bắt đầu thông báo cho người dùng về việc tạm dừng ứng dụng, nhưng không thông báo cho người dùng về sai số bảo mật.
Ứng dụng neon đã ngừng hoạt động ngay sau khi chúng tôi liên hệ với Kiam.
Gọi ghi âm và bảng điểm lộ ra
Có lỗi là thực tế là các máy chủ của ứng dụng neon không ngăn cản bất kỳ người dùng đăng nhập nào truy cập dữ liệu của người khác.
TechCrunch đã tạo một tài khoản người dùng mới trên iPhone chuyên dụng và xác minh số điện thoại như một phần của quy trình đăng ký. Chúng tôi đã sử dụng một công cụ phân tích lưu lượng truy cập mạng có tên là Burp Suite để kiểm tra dữ liệu mạng chảy vào và ra khỏi ứng dụng neon, cho phép chúng tôi hiểu cách ứng dụng hoạt động ở cấp độ kỹ thuật, chẳng hạn như cách ứng dụng giao tiếp với các máy chủ cuối.
Sau khi thực hiện một số cuộc gọi điện thoại thử nghiệm, ứng dụng đã cho chúng tôi thấy một danh sách các cuộc gọi gần đây nhất của chúng tôi và mỗi cuộc gọi kiếm được bao nhiêu tiền. Nhưng công cụ phân tích mạng của chúng tôi đã tiết lộ chi tiết không hiển thị cho người dùng thông thường trong ứng dụng neon. Những chi tiết này bao gồm bảng điểm dựa trên văn bản của cuộc gọi và địa chỉ web đến các tệp âm thanh, mà bất kỳ ai cũng có thể truy cập công khai miễn là họ có liên kết.
Ví dụ: ở đây bạn có thể thấy bảng điểm từ cuộc gọi thử nghiệm của chúng tôi giữa hai phóng viên TechCrunch xác nhận rằng bản ghi hoạt động đúng.
Nhưng các máy chủ phụ trợ cũng có khả năng phun ra các bản ghi âm gọi của người khác và bảng điểm của họ.
Trong một trường hợp, TechCrunch nhận thấy rằng các máy chủ neon có thể tạo dữ liệu về các cuộc gọi gần đây nhất của người dùng ứng dụng, cũng như cung cấp các liên kết web công khai đến các tệp âm thanh thô của họ và văn bản bảng điểm của những gì đã nói trong cuộc gọi. (Các tệp âm thanh chứa các bản ghi của những người đã cài đặt neon chứ không phải các tệp mà họ đã liên hệ.)
Tương tự, các máy chủ neon có thể được thao tác để tiết lộ các hồ sơ cuộc gọi gần đây nhất (còn được gọi là siêu dữ liệu) từ bất kỳ người dùng nào. Siêu dữ liệu này chứa số điện thoại của người dùng và số điện thoại của người mà họ đang gọi, khi cuộc gọi được thực hiện, thời lượng của nó và mỗi lần gọi số tiền kiếm được bao nhiêu tiền.
Đánh giá về một số bảng điểm và tệp âm thanh cho thấy một số người dùng có thể sử dụng ứng dụng để thực hiện các cuộc gọi dài để ghi lại các cuộc hội thoại trong thế giới thực với người khác để tạo tiền thông qua ứng dụng.
Ứng dụng tắt, bây giờ
Ngay sau khi chúng tôi đã cảnh báo Neon về lỗ hổng vào thứ năm, người sáng lập của công ty, Kiam, đã gửi email cho khách hàng cảnh báo họ về việc tắt của ứng dụng.
Quyền riêng tư dữ liệu của bạn là ưu tiên số một của chúng tôi và chúng tôi muốn đảm bảo rằng nó hoàn toàn an toàn ngay cả trong giai đoạn tăng trưởng nhanh chóng này. Vì điều này, chúng tôi tạm thời lấy ứng dụng xuống để thêm các lớp bảo mật, email, được chia sẻ với TechCrunch, đọc.
Đáng chú ý, email không đề cập đến sai sót bảo mật hoặc nó đã hiển thị số điện thoại, bản ghi cuộc gọi của người dùng và bảng điểm gọi cho bất kỳ người dùng nào khác biết tìm nơi nào.
Không rõ khi nào neon sẽ trở lại trực tuyến hoặc liệu sai số bảo mật này sẽ thu hút sự chú ý của các cửa hàng ứng dụng.
Apple và Google vẫn chưa trả lời các yêu cầu bình luận của TechCrunch về việc liệu neon có tuân thủ các hướng dẫn của nhà phát triển tương ứng hay không.
Tuy nhiên, đây không phải là lần đầu tiên một ứng dụng có vấn đề bảo mật nghiêm trọng đã đưa nó vào các thị trường ứng dụng này. Gần đây, một ứng dụng đồng hành hẹn hò di động phổ biến, TEA, đã trải qua vi phạm dữ liệu, đã phơi bày thông tin cá nhân của người dùng và các tài liệu nhận dạng do chính phủ cấp. Các ứng dụng phổ biến như Bumble và bản lề đã bị bắt vào năm 2024 phơi bày địa điểm của người dùng. Cả hai cửa hàng cũng phải thường xuyên thanh lọc các ứng dụng độc hại vượt qua các quy trình xem xét ứng dụng của họ.
Khi được hỏi, Kiam đã không nói ngay lập tức nếu ứng dụng đã trải qua bất kỳ đánh giá bảo mật nào trước khi ra mắt, và nếu vậy, người đã thực hiện đánh giá. Kiam cũng không nói, khi được hỏi, nếu công ty có phương tiện kỹ thuật, chẳng hạn như nhật ký, để xác định xem có ai khác tìm thấy lỗ hổng trước chúng tôi hay không nếu bất kỳ dữ liệu người dùng nào bị đánh cắp.
TechCrunch cũng đã tiếp cận để trả tiền cho Ventures và Xfund, mà Kiam tuyên bố trong một bài đăng LinkedIn đã đầu tư vào ứng dụng của mình. Cả hai công ty đều không trả lời yêu cầu bình luận của chúng tôi khi xuất bản.
