Panggilan Telepon iPhone Bisa Dicuri Dengar Hacker

Celah keamanan di aplikasi perekam panggilan untuk iPhone memungkinkan hacker atau orang lain untuk mendengarkan rekaman panggilan pengguna jika mereka mengetahui nomor telepon targetnya.

Aplikasi tersebut bernama Call Recorder yang memungkinkan pengguna merekam panggilan keluar dan masuk, bahkan tanpa koneksi internet. 

Saat ini Call Recorder sudah diunduh lebih dari satu juta kali di Apple App Store.

Celah yang ada di Call Recorder pertama kali ditemukan oleh peneliti keamanan dan pendiri Pingsafe AI Anand Prakash yang membagikan temuannya kepada TechCrunch.

Prakash menemukan ia bisa memodifikasi traffic yang masuk dan keluar dari aplikasi menggunakan proxy seperti Burp Suite. 

Artinya ia bisa mengganti nomor teleponnya yang terdaftar di aplikasi dengan nomor telepon pengguna lain, lalu mengakses rekaman panggilan mereka dan metadata terkait di ponselnya.

Call Recorder menyimpan rekaman panggilan pengguna di cloud bucket yang disediakan Amazon Web Services. 

Meski server cloud itu terbuka dan mencantumkan data di dalamnya, data tersebut tidak bisa diakses atau diunduh.

"Celah ini memungkinkan aktor jahat untuk mendengarkan rekaman panggilan pengguna dari penyimpanan cloud bucket aplikasi dan endpoint API yang tidak diautentikasi yang membocorkan URL penyimpanan cloud data korban," tulis Prakesh dalam laporannya, seperti dikutip dari Gizmodo.

Setelah Prakash melaporkan temuannya kepada pengembang aplikasi, Call Recorder memperbaiki celah tersebut pada Sabtu pekan lalu dan merilis versi terbaru yang lebih aman tanpa bug.

Saat belum diperbaiki, penyimpanan cloud bucket yang digunakan Call Recorder memiliki lebih dari 130.000 rekaman audio yang total ukurannya mencapai 300 GB. Saat ini cloud bucket tersebut sudah ditutup.