L'application virale d'enregistrement des appels Neon devient sombre après l'exposition des numéros de téléphone des utilisateurs, des enregistrements d'appels et des transcriptions

Une application virale appelée Neon, qui propose d’enregistrer vos appels téléphoniques et de vous payer pour l’audio afin qu’il puisse vendre ces données aux entreprises, a rapidement atteint les rangs des cinq premières applications iPhone gratuites depuis son lancement la semaine dernière.

L’application compte déjà des milliers d’utilisateurs et a été téléchargée 75 000 fois hier, selon les appfigures du fournisseur de renseignement de l’APP. Neon se présente comme un moyen pour les utilisateurs de gagner de l’argent en fournissant des enregistrements d’appels qui aident à former, à améliorer et à tester les modèles d’IA.

Mais le néon est hors ligne, du moins pour l’instant, après qu’un défaut de sécurité ait permis à quiconque d’accéder aux numéros de téléphone, aux enregistrements d’appels et aux transcriptions de tout autre utilisateur, TechCrunch peut désormais signaler.

TechCrunch a découvert la faille de sécurité lors d’un court test de l’application jeudi. Nous avons alerté le fondateur de l’application, Alex Kiam (qui n’a pas répondu auparavant à une demande pour l’application), à la faille peu de temps après la découverte.

Kiam a déclaré à TechCrunch plus tard jeudi qu’il avait enlevé les serveurs de l’application et avait commencé à informer les utilisateurs de faire une pause de l’application, mais n’a pas réussi à informer ses utilisateurs de la déchéance de sécurité.

L’application néon a cessé de fonctionner peu de temps après avoir contacté Kiam.

Exposition des dossiers et des transcriptions d’appel

En faute, le fait que les serveurs de l’application Neon n’empêchaient aucune utilisation connectée d’accéder aux données de quelqu’un d’autre.

TechCrunch a créé un nouveau compte utilisateur sur un iPhone dédié et vérifié un numéro de téléphone dans le cadre du processus d’inscription. Nous avons utilisé un outil d’analyse du trafic réseau appelé Burp Suite pour inspecter les données du réseau entrant et sortant de l’application Neon, permettant à comprendre comment l’application fonctionne au niveau technique, telles que la façon dont l’application communique avec ses serveurs arrière.

Après avoir passé des appels téléphoniques de test, l’application nous a montré une liste de nos appels les plus récents et combien d’argent chaque appel a gagné. Mais notre outil d’analyse de réseau a révélé des détails qui n’étaient pas visibles pour les utilisateurs réguliers de l’application Neon. Ces détails incluent la transcription textuelle de l’appel et une adresse Web aux fichiers audio, auxquels n’importe qui pourrait accéder publiquement car ils ont le lien.

Par exemple, ici, vous pouvez voir la transcription de notre appel de test entre deux journalistes TechCrunch confiant que l’enregistrement a fonctionné correctement.

Une réponse JSON du serveur de Neon Mobile, qui se lit comme un texte de transcription d'un appel entre deux journalistes TC, qui dit: "Euh, ça a fonctionné. Hourra. D'accord. Merci, mec." — Crédits: TechCrunch

Mais les serveurs back-end étaient également capables de cracher des rames des enregistrements d’appels d’autres personnes et de leurs transcriptions.

Dans un cas, TechCrunch a constaté que les serveurs néon pouvaient produire des données sur les appels les plus récents passés par les utilisateurs de l’application, ainsi que la fourniture de liens Web publics vers leurs fichiers audio bruts et le texte de transcription de ce qui était sur l’appel. .

De même, les serveurs néon pourraient être manipulateurs pour révéler les enregistrements d’appels les plus récents (également connus sous le nom de métadonnées) de l’un de ses utilisateurs. Ces métadonnées contenaient le numéro de téléphone de l’utilisateur et le numéro de téléphone de la personne qu’ils appellent, lorsque l’appel a été passé, sa durée et combien d’argent chaque appel a gagné.

Un examen d’une poignée de transcriptions et de fichiers audio suggère que certains utilisateurs peuvent utiliser l’application pour passer de longs appels qui enregistrent secrètement les conversations du monde réel avec d’autres personnes afin de générer de l’argent via l’application.

Les coups d’application sont en bas, pour l’instant

Peu de temps après, nous avons alerté le néon sur la faille jeudi, le fondateur de la société, Kiam, sent un e-mail aux clients les alertant sur la fermeture de l’application.

« Votre confidentialité des données est notre priorité numéro un, et nous voulons nous assurer qu’elle est entièrement sécurisée même pendant cette période de croissance rapide. Parce que nous sommes temporairement enlevés l’application pour ajouter des couches supplémentaires de sécurité », a déclaré l’e-mail, partagé avec TechCrunch.

Remarque, l’e-mail ne fait aucune mention d’un laps de sécurité ou qu’il présente des numéros de téléphone, des enregistrements d’appels et des transcriptions d’appels à tout autre utilisateur qui savait quand chercher.

On ne sait pas quand Neon reviendra en ligne ou où cette laps de sécurité attirera l’attention des magasins d’applications.

Apple et Google n’ont pas encore commenté le suivi de la sensibilisation de TechCrunch à propos de Whower ou non était conforme à leurs directives de développeur respectives.

Cependant, ce ne serait pas la première fois qu’une application avec une sécurité sérieuse se présente sur ces marchés d’applications. Récemment, une application de compagnie de rencontres mobiles populaire, Tea, expérimentée chez Data Breach, qui a exposé les informations personnelles de ses utilisateurs et les documents d’identité du gouvernement. Des applications populaires comme Bumble et Hinge ont été prises en 2024 exposant les emplacements de leurs utilisateurs. Les deux magasins doivent également purger régulièrement les applications malveillantes qui passent devant leurs processus d’examen des applications.

Lorsqu’on lui a demandé, Kiam a maintenant dit imminent si l’application avait subi un examen de sécurité avant son lancement et, dans l’affirmative, qui a effectué l’examen. Kiam n’a pas non plus dit, lorsqu’on lui a demandé, si l’entreprise a les moyens techniques, tels que des journaux, pour déterminer si quelqu’un a été le défaut de la faille devant nous ou des données d’utilisateur IFN.

TechCrunch a en outre contacté Upfront Ventures et XFund, qui, selon Kiam, affirme dans un article LinkedIn a investi dans son application. Aucune des deux entreprises n’a été à couper le souffle pour commenter des commentaires comme de la publication.

Source link

What's Hot

Le trading de Tiktok ne bloque pas les algorithmes chinois, mais beaucoup de gens peuvent effectuer des paiements importants

All Bark, No Sweets: la dernière guerre commerciale de Trump se transforme en une autre salade de taco à Wall Street

Wall Street s’effondre des rues perdant de trois jours avec des rapports d’inflation moyens

L’application virale d’enregistrement des appels Neon devient sombre après l’exposition des numéros de téléphone des utilisateurs, des enregistrements d’appels et des transcriptions

Découvrez comment les outils du développeur se déplacent rapidement à la perturbation 2025

Qu’y a-t-il derrière les titres massifs du centre de données sur l’IA?

La nouvelle évaluation de 12 milliards de dollars de Checkout.com est une situation à moitié pleine de verre

Tests de musique YouTube AI Hosts qui partagent des anecdotes et des commentaires

S’avère améliorer la base arrière fintech et l’intégration

Cohorte de 23 startups d’IA, de fintech et d’innovation de consommation

MasterCard prend en charge l’écosystème fintech avec les startups et les initiatives mondiales d’outils d’extension

Top Insights