חוקר אבטחה בשם אוואן קונלי עשה גילוי מעורער, אך סופר חשוב לפני כמה שבועות הנוגע למיליוניVerizonמשתמשים: אנו מדברים כאן על הפרת פרטיות.
כפי שהוא כותב על שלובלוג, הוא זיהה פגיעות אבטחה בVerizonאפליקציית סינון השיחות למכשירי iPhone ו- iOS, המאפשרת לשחקן רע להשיג ולראות את יומני היסטוריית השיחות שלVerizonמשתמשים.
הנושא מתממש בנוגע כאשר לוקחים בחשבון שהבאג איפשר לכל מי שיש לו ידע טכני לגשת להיסטוריית השיחות הנכנסת של כל אחדVerizonמספר טלפון - מבלי להזדקק לפרוץ לטלפון, לנחש סיסמה או אפילו להתריע בפני הקורבן.
בבסיס הבעיה הייתה פגיעות באופן בו האפליקציה ביקשה וקיבלה נתוני יומן שיחות. כאשר המשתמשים פתחו את האפליקציה כדי להציג שיחות אחרונות, היא תשלח בקשה לשרת מרוחק, זיהוי מספר הטלפון של המשתמש ומבקש רשומות התאמה. זה היה צריך להיות מוגבל בחוזקה, כך שרק האדם שנכנס לאפליקציה יכול היה לראות נתונים משלו.
דוגמה לבקשה פגיעה. | קרדיט תמונה - אוון קונלי
התברר כי ה- Backend של האפליקציה לא הצליח לוודא כראוי כי הבקשה מגיעה מבעל החשבון בפועל. פירוש הדבר היה ששחקן סקרן - או זדוני - יכול לשנות את הבקשה לבקש את המספר של מישהו אחר ולקבל את יומן השיחות שלו בתמורה. אין סיסמאות, אין אישור, רק מספר וקצת ידע.
כדי להיות ברור, באג זה לא חשף הודעות טקסט או שיחות מלאות. אבל אפילו הגישה להיסטוריית שיחות נכנסת רק חושפת עמוק. חותמות חותמות ומספרים תכופים יכולים לצבוע תמונה מפורטת באופן מפתיע של הרגלים, אנשי קשר ומקום הימצאותו של האדם. עבור עיתונאים, פעילים, שוטרים או ניצולי התעללות, דליפה מסוג זה עלולה להיות מסוכנת להפליא.
מה שכן, נראה כי המערכת שמאחורי הפגם הזה מנוהלת לא ישירות על ידיVerizonאבל על ידי חברה פחות ידועה בשם Cequint, המתמחה ב- Caller ID Tech. זה מעלה שאלות נוספות לגבי כמה נתוני משתמשים מטופלים על ידי צדדים שלישיים - וכמה בטוחים שהנתונים באמת.
אוון מצא ודיווח על החיידק בפברואר 2025.Verizonמאז תיקן את הבעיה, אך החשיפה יכולה הייתה להשפיע על משתמשים רבים, במיוחד מכיוון שסביר כי פילטר השיחות פעיל כברירת מחדל לרובVerizonלקוחות. זו תזכורת בולטת שאפילו המעשה הפשוט של בדיקה מי קרא לך לא אמור לבוא במחיר של פרטיותך.
מחשב דופקשדיווחו גם על הסיפור, יצרו קשרVerizonוהתגובה של המוביל מבטיחה זאתVerizon"עבד עם בעל האפליקציה של צד שלישי בתיקון ותיקון", שנדחף אז באמצע מרץ. החברה טוענת כי "לא הייתה שום אינדיקציה לכך שהפגם נוצל" ו"השפיע רק על מכשירי iOS ", אך כעת הנושא" נפתר ".
