Una aplicación de virus llamada Neon ofrece teléfonos grabados y pagar el audio para que pueda venderse a las compañías de inteligencia artificial, pero desde su lanzamiento la semana pasada ha aumentado rápidamente al rango de aplicaciones gratuitas de iPhone.
Proveedor de inteligencia de aplicaciones Según las cifras de aplicaciones, la aplicación ya tiene miles de usuarios y se ha descargado 75,000 veces ayer solo. Neon se presenta como una forma para que los usuarios ganen dinero al proporcionar grabaciones de llamadas que les ayuden a entrenar, mejorar y probar los modelos de IA.
Pero por ahora, el neón está fuera de línea. Un defecto de seguridad permitió a cualquiera acceder a sus números de teléfono y grabaciones de llamadas y transcripciones de otros usuarios, lo que permite a TechCrunch informar.
TechCrunch descubrió un defecto de seguridad durante una breve prueba de la aplicación el jueves. Advertimos al fundador de la aplicación, Alex Kiam (que anteriormente no había respondido a las solicitudes de comentarios sobre la aplicación) de los defectos inmediatamente después de su descubrimiento.
Kiam le dijo a TechCrunch más tarde el jueves que había comenzado a notificar a los usuarios sobre las suspensiones de aplicaciones al derrotar a los servidores de la aplicación, pero no terminó notificando a los usuarios la revocación de seguridad.
La aplicación de neón dejó de funcionar inmediatamente después de contactar a Kiam.
Llamar grabaciones y transcripciones
La falla fue el hecho de que el servidor en la aplicación Neon no impidió que los usuarios iniciarían sesión en los que accedan a los datos de otra persona.
TechCrunch creó una nueva cuenta de usuario en su iPhone dedicado y verificó el número de teléfono como parte del proceso de registro. Utilizamos una herramienta de análisis de tráfico de red llamada BURP Suite para inspeccionar los datos de la red que fluyen a través de aplicaciones de neón, lo que nos permite comprender cómo funcionan las aplicaciones a nivel técnico, incluida la forma en que se comunican con los servidores de backend.
Después de hacer algunas llamadas de prueba, la aplicación nos mostró una lista de nuestras últimas llamadas y la cantidad que se obtuvo cada llamada. Sin embargo, nuestras herramientas de análisis de red revelaron detalles invisibles para los usuarios comunes de la aplicación Neon. Estos detalles incluyeron las transcripciones basadas en texto de la llamada y la dirección web a los archivos de audio.
Por ejemplo, aquí puede ver una transcripción que confirma que la grabación funcionó correctamente desde una llamada de prueba entre dos reporteros de TechCrunch.
Pero el servidor de backend también podría escupir las grabaciones de llamadas de otras personas y sus transcripciones.
En un caso, TechCrunch descubrió que el servidor de neón podría crear datos sobre las últimas llamadas realizadas por los usuarios de la aplicación, proporcionando enlaces web públicos a los archivos de audio sin procesar y el texto de transcripción de lo que se dijo en la llamada. (El archivo de audio contiene grabaciones solo por personas que instalaron neón, no contactados).
Del mismo modo, puede interactuar con el servidor de neón para revelar los últimos registros de llamadas (también conocidos como metadatos) de uno de los usuarios. Estos metadatos incluyeron el número de teléfono y el número de teléfono del usuario, así como la cantidad que se obtuvo cada llamada durante el período en que se realizó la llamada.
Las revisiones de algunas transcripciones y archivos de audio sugieren que algunos usuarios pueden usar la aplicación para hacer largas llamadas grabando en secreto conversaciones del mundo real con otros para generar dinero a través de la aplicación.
La aplicación está cerrada por ahora
Poco después de advertir a Neon sobre los defectos del jueves, el fundador de la compañía, Kiam, envió un correo electrónico a los clientes que les advierten sobre los cierres de aplicaciones.
«Su privacidad de datos es nuestra prioridad número uno y queremos asegurarnos de que sea completamente seguro incluso durante este rápido período de crecimiento. Por esta razón, estamos eliminando temporalmente la aplicación y agregando una capa de seguridad».
En particular, el correo electrónico no menciona que la seguridad ha expirado, la divulgación del número de teléfono de un usuario, las grabaciones de llamadas o las transcripciones de llamadas a otros usuarios que saben dónde buscar.
No está claro cuándo Neon regresará en línea, o si esta seguridad atraerá la atención de la App Store.
Apple y Google aún no han comentado sobre la divulgación de TechCrunch sobre si Neon cumple con sus respectivas pautas de desarrolladores.
Sin embargo, esta no es la primera vez que aparece una aplicación en el mercado con serios problemas de seguridad. Recientemente, TEA, una popular aplicación de acompañamiento de citas móviles, ha experimentado violaciones de datos y ha publicado información personal del usuario y documentos de identidad emitidos por el gobierno. Las aplicaciones populares como Bumble and Hinge expusieron las ubicaciones de sus usuarios en 2024. Ambas tiendas deben purgar periódicamente aplicaciones maliciosas que se deslizan más allá del proceso de revisión de aplicaciones.
Cuando se le preguntó, Kiam no dijo de inmediato si la aplicación había recibido una revisión de seguridad antes del lanzamiento o, de ser así, si había ejecutado la revisión. Kiam tampoco dijo si alguien más encontró un defecto ante nosotros o si los datos del usuario habían sido robados cuando se le preguntó si la compañía tenía medidas técnicas como registros.
Además, TechCrunch contactó aún más a Upfront Ventures y Xfund, a quienes Kiam afirma haber invertido en su aplicación en LinkedIn Post. Ninguna compañía respondió a las solicitudes de comentarios al momento de la publicación.
Source link
