Ексклюзив: Neon закриває додаток через витік номерів телефонів, записів дзвінків та стенограм користувачів

Вірусний додаток Neon, який обіцяє записувати телефонні дзвінки та платити за аудіо, щоб продавати ці дані компаніям AI, швидко потрапив до топ-5 безкоштовних додатків для iPhone з моменту свого запуску минулого тижня.

У додатка вже тисячі користувачів, а вчора він був завантажений 75,000 разів, згідно з даними аналітичної компанії Appfigures. Neon пропонує користувачам можливість заробляти гроші, надаючи записи дзвінків, які допомагають навчати, покращувати та тестувати AI моделі.

Проте, наразі Neon припинив свою роботу, оскільки виявлена вразливість дозволяла будь-якому користувачеві отримувати доступ до номерів телефонів, записів дзвінків та транскрипцій інших користувачів, що повідомляє TechCrunch.

TechCrunch виявив цю вразливість під час короткого тестування додатка в четвер. Ми швидко сповістили засновника додатка, Олексія Кіама, про проблему, але раніше він не відповів на запит щодо коментаря про додаток.

Кіам повідомив TechCrunch пізно в четвер, що закрив сервери додатка і почав сповіщати користувачів про тимчасове призупинення його роботи, але не дав жодної інформації про вразливість.

Додаток Neon припинив свою діяльність незабаром після нашого звернення до Кіама.

Записи дзвінків та транскрипції під загрозою

Причиною проблеми було те, що сервери додатка Neon не блокували жодного авторизованого користувача від доступу до даних інших користувачів.

TechCrunch створив новий обліковий запис на спеціально виділеному iPhone та підтвердив номер телефону під час процесу реєстрації. Ми використали інструмент аналізу мережевого трафіку під назвою Burp Suite, щоб перевірити дані, які проходять через додаток Neon, і зрозуміти, як він працює на технічному рівні, зокрема, як він взаємодіє зі своїми серверними системами.

Після декількох тестових дзвінків додаток показав нам список найостанніших дзвінків та скільки грошей ми заробили з кожного дзвінка. Але наш інструмент мережевого аналізу виявив деталі, які не були видимі звичайним користувачам у додатку Neon. Серед цих деталей були текстові транскрипції дзвінків та веб-адреси до аудіофайлів, які могли бути вільно доступними для всіх, хто мав посилання.

Наприклад, ми отримали транскрипцію з нашого тестового дзвінка між двома репортерами TechCrunch, підтверджуючи, що запис працює коректно.

Однак сервери додатка також могли видавати великі обсяги чужих записів дзвінків та їх транскрипцій.

У одному випадку TechCrunch виявив, що сервери Neon могли надавати дані про найостанніші дзвінки, здійснені користувачами додатка, а також публічні веб-посилання на їхні сирі аудіофайли та текст транскрипції того, що казали під час дзвінка. (Аудіофайли містять записи тільки тих, хто встановив Neon, а не тих, з ким вони спілкувалися.)

Аналогічно, сервери Neon можна було модифікувати, щоб виявити найостанніші записи дзвінків (також відомі як метадані) від будь-якого з його користувачів. Ці метадані містили номер телефону користувача та номер телефону особи, з якою він спілкувався, час дзвінка, його тривалість та скільки грошей зароблено з кожного дзвінка.

Огляд кількох транскрипцій та аудіофайлів вказує на те, що деякі користувачі можуть використовувати додаток для здійснення тривалих дзвінків, які таємно записують реальні розмови з іншими людьми, щоб заробляти гроші через додаток.

Додаток призупинено, принаймні на даний момент

Незабаром після того, як ми повідомили Neon про вразливість в четвер, засновник компанії, Кіам, надіслав листа клієнтам, в якому сповіщав про закриття додатка.

«Ваше приватність даних є нашим пріоритетом, і ми хочемо впевнитися, що вона є повністю захищеною навіть під час цього періоду стрімкого зростання. Тому ми тимчасово закриваємо додаток, щоб додати додаткові рівні безпеки», – йдеться в листі, поданому TechCrunch.

Звертає на себе увагу, що в листі не згадується про вразливість безпеки або про те, що вона відкрила номери телефонів користувачів, записи дзвінків та транскрипції іншим користувачам, які знали, куди звертатися.

Невідомо, коли Neon знову з’явиться в мережі або чи приверне увагу цієї вразливості в магазинах додатків.

Apple та Google поки не відповіли на запити TechCrunch прокоментувати, чи відповідав Neon їхнім відповідним керівництвам для розробників.

Однак це не перший випадок, коли додаток з серйозними проблемами безпеки потрапив до цих магазинів додатків. Нещодавно популярний мобільний додаток для знайомств, Tea, зазнав витоку даних, який викрив особисту інформацію користувачів та документи, видані державою. Популярні додатки, такі як Bumble та Hinge, також були звинувачені в 2024 році в розкритті місць своїх користувачів. Обидва магазини також регулярно очищаються від шкідливих додатків, які проходять через їхні процеси перегляду додатків.

На запит Кіам не відразу відповів, чи проходив додаток будь-яку перевірку безпеки перед запуском, і якщо так, то хто виконував цю перевірку. Кіам також не уточнив, чи має компанія технічні можливості, такі як журнали, щоб визначити, чи хтось інший знайшов вразливість раніше за нас або чи були вкрадені дані користувачів.

TechCrunch також звернувся до Upfront Ventures та Xfund, в які, як стверджує Кіам у пості в LinkedIn, були інвестування в його додаток. Жодна з фірм не відповіла на наші запити про коментарі на момент публікації.