Нажали «Разрешить доступ к микрофону»? Поздравляем, вы только что опубликовали свои разговоры в открытом доступе
NewsMakerВирусное приложение для записи звонков выдало тысячи номеров и голосов пользователей.
Вирусное приложение Neon, стремительно ворвавшееся в топ-5 бесплатных программ для iPhone, обещало пользователям лёгкий заработок: оно записывало их телефонные разговоры, а затем продавало эти записи компаниям, обучающим искусственный интеллект. Всего за сутки Neon скачали более 75 000 раз, и сервис успел собрать тысячи пользователей. Однако головокружительный взлёт закончился внезапно — приложение было срочно отключено после того, как обнаружилась критическая уязвимость , позволявшая любому авторизованному пользователю получить доступ к чужим номерам, записям и расшифровкам звонков.
Специалисты TechCrunch выявили проблему во время технического теста. Они зарегистрировали новый аккаунт, верифицировали номер и проанализировали сетевой трафик с помощью Burp Suite, чтобы понять, как Neon взаимодействует с сервером. После нескольких пробных звонков приложение показало ожидаемые данные — список вызовов и начисленные суммы за каждый. Но при анализе сетевых запросов вскрылись скрытые детали: прямые ссылки на аудиофайлы и текстовые транскрипты разговоров, открытые для любого, кто знал адрес. Хуже того — сервер позволял получить доступ и к чужим записям.
Специалисты смогли запросить через сервер список последних звонков других пользователей, включая открытые ссылки на записи и их расшифровки. Система также выдавал метаданные: номера телефонов обеих сторон, время, длительность и заработок за разговор. Проверка нескольких файлов показала, что часть пользователей использовала Neon для длительных разговоров, тайно фиксируя реальные диалоги ради прибыли. При этом собеседники, не установившие приложение, тоже попадали на записи, не давая на это согласия.
После уведомления разработчика приложение почти сразу перестало работать. Основатель Neon Алекс Киам сообщил, что отключил серверы и разослал пользователям уведомление о «приостановке работы ради улучшения безопасности». Однако в письме не упоминалось, что произошла утечка данных , и не было разъяснений, что именно оказалось в открытом доступе. Компания ограничилась формулировкой о «добавлении дополнительных уровней защиты». Когда и в каком виде сервис вернётся онлайн, пока неизвестно.
TechCrunch попытался выяснить, проходило ли приложение какой-либо аудит перед запуском и фиксировались ли признаки стороннего доступа до публикации расследования. Киам не ответил на эти вопросы, равно как и не уточнил, ведутся ли серверные журналы, которые могли бы подтвердить факт утечки. Не прокомментировали инцидент и фонды Upfront Ventures и Xfund, которые, по словам разработчика, инвестировали в проект.
Apple и Google, к которым также обратились журналисты, не сообщили, соответствует ли Neon их правилам для разработчиков. Этот случай не единственный: ранее уязвимости находили в других популярных приложениях, включая сервис знакомств Tea, где оказались раскрыты личные данные и документы пользователей. В 2024 году аналогичные инциденты произошли с Bumble и Hinge, когда геолокации пользователей можно было определить с пугающей точностью. Несмотря на регулярные проверки , магазины приложений всё ещё не способны предотвращать попадание в топ сервисов с грубыми ошибками в защите.
История Neon показывает, как опасно превращать повседневное общение в источник данных для машинного обучения без продуманной архитектуры безопасности. Попытка монетизировать человеческие голоса обернулась тем, что эти же голоса оказались доступны каждому, кто умел открыть нужный адрес в браузере.
Вирусное приложение Neon, стремительно ворвавшееся в топ-5 бесплатных программ для iPhone, обещало пользователям лёгкий заработок: оно записывало их телефонные разговоры, а затем продавало эти записи компаниям, обучающим искусственный интеллект. Всего за сутки Neon скачали более 75 000 раз, и сервис успел собрать тысячи пользователей. Однако головокружительный взлёт закончился внезапно — приложение было срочно отключено после того, как обнаружилась критическая уязвимость , позволявшая любому авторизованному пользователю получить доступ к чужим номерам, записям и расшифровкам звонков.
Специалисты TechCrunch выявили проблему во время технического теста. Они зарегистрировали новый аккаунт, верифицировали номер и проанализировали сетевой трафик с помощью Burp Suite, чтобы понять, как Neon взаимодействует с сервером. После нескольких пробных звонков приложение показало ожидаемые данные — список вызовов и начисленные суммы за каждый. Но при анализе сетевых запросов вскрылись скрытые детали: прямые ссылки на аудиофайлы и текстовые транскрипты разговоров, открытые для любого, кто знал адрес. Хуже того — сервер позволял получить доступ и к чужим записям.
Специалисты смогли запросить через сервер список последних звонков других пользователей, включая открытые ссылки на записи и их расшифровки. Система также выдавал метаданные: номера телефонов обеих сторон, время, длительность и заработок за разговор. Проверка нескольких файлов показала, что часть пользователей использовала Neon для длительных разговоров, тайно фиксируя реальные диалоги ради прибыли. При этом собеседники, не установившие приложение, тоже попадали на записи, не давая на это согласия.
После уведомления разработчика приложение почти сразу перестало работать. Основатель Neon Алекс Киам сообщил, что отключил серверы и разослал пользователям уведомление о «приостановке работы ради улучшения безопасности». Однако в письме не упоминалось, что произошла утечка данных , и не было разъяснений, что именно оказалось в открытом доступе. Компания ограничилась формулировкой о «добавлении дополнительных уровней защиты». Когда и в каком виде сервис вернётся онлайн, пока неизвестно.
TechCrunch попытался выяснить, проходило ли приложение какой-либо аудит перед запуском и фиксировались ли признаки стороннего доступа до публикации расследования. Киам не ответил на эти вопросы, равно как и не уточнил, ведутся ли серверные журналы, которые могли бы подтвердить факт утечки. Не прокомментировали инцидент и фонды Upfront Ventures и Xfund, которые, по словам разработчика, инвестировали в проект.
Apple и Google, к которым также обратились журналисты, не сообщили, соответствует ли Neon их правилам для разработчиков. Этот случай не единственный: ранее уязвимости находили в других популярных приложениях, включая сервис знакомств Tea, где оказались раскрыты личные данные и документы пользователей. В 2024 году аналогичные инциденты произошли с Bumble и Hinge, когда геолокации пользователей можно было определить с пугающей точностью. Несмотря на регулярные проверки , магазины приложений всё ещё не способны предотвращать попадание в топ сервисов с грубыми ошибками в защите.
История Neon показывает, как опасно превращать повседневное общение в источник данных для машинного обучения без продуманной архитектуры безопасности. Попытка монетизировать человеческие голоса обернулась тем, что эти же голоса оказались доступны каждому, кто умел открыть нужный адрес в браузере.