Aplikasi viral bernama Neon, yang menawarkan untuk merekam panggilan telepon Anda dan membayar Anda untuk audio sehingga dapat menjual data itu kepada perusahaan AI, telah dengan cepat naik ke jajaran aplikasi iPhone gratis lima besar sejak diluncurkan minggu lalu.
Aplikasi ini sudah memiliki ribuan pengguna dan diunduh 75.000 kali kemarin saja, menurut penyedia intelijen aplikasi AppFigures. Neon melempar dirinya sebagai cara bagi pengguna untuk menghasilkan uang dengan memberikan rekaman panggilan yang membantu melatih, meningkatkan, dan menguji model AI.
Tapi Neon telah offline, setidaknya untuk saat ini, setelah cacat keamanan memungkinkan siapa pun untuk mengakses nomor telepon, rekaman panggilan, dan transkrip pengguna lain, TechCrunch sekarang dapat melaporkan.
TechCrunch menemukan cacat keamanan selama tes singkat aplikasi pada hari Kamis. Kami memberi tahu pendiri aplikasi, Alex Kiam (yang sebelumnya tidak menanggapi permintaan komentar tentang aplikasi), terhadap cacat segera setelah penemuan kami.
Kiam mengatakan kepada TechCrunch Kamis bahwa ia mengalahkan server aplikasi dan mulai memberi tahu pengguna tentang berhenti dari aplikasi tersebut, tetapi gagal memberi tahu penggunanya tentang selang keamanan.
Aplikasi neon berhenti berfungsi segera setelah kami menghubungi Kiam.
Panggilan rekaman dan transkrip terbuka
Kesalahan adalah fakta bahwa server aplikasi neon tidak mencegah pengguna yang masuk dari mengakses data orang lain.
TechCrunch membuat akun pengguna baru di iPhone khusus dan memverifikasi nomor telepon sebagai bagian dari proses pendaftaran. Kami menggunakan alat analisis lalu lintas jaringan yang disebut Burp Suite untuk memeriksa data jaringan yang mengalir masuk dan keluar dari aplikasi neon, memungkinkan kami untuk memahami cara kerja aplikasi pada tingkat teknis, seperti bagaimana aplikasi berkomunikasi dengan server back-end.
Setelah melakukan beberapa panggilan telepon tes, aplikasi menunjukkan kepada kami daftar panggilan terbaru kami dan berapa banyak uang yang dihasilkan setiap panggilan. Tetapi alat analisis jaringan kami mengungkapkan detail yang tidak terlihat oleh pengguna reguler di aplikasi neon. Rincian ini termasuk transkrip berbasis teks dari panggilan dan alamat web ke file audio, yang dapat diakses oleh siapa pun secara publik selama mereka memiliki tautan.
Misalnya, di sini Anda dapat melihat transkrip dari panggilan tes kami antara dua wartawan TechCrunch yang mengkonfirmasi bahwa perekaman berfungsi dengan baik.
Tetapi server back-end juga mampu memuntahkan rim rekaman panggilan orang lain dan transkrip mereka.
Dalam satu kasus, TechCrunch menemukan bahwa server neon dapat menghasilkan data tentang panggilan terbaru yang dilakukan oleh pengguna aplikasi, serta menyediakan tautan web publik ke file audio mentah mereka dan teks transkrip dari apa yang dikatakan pada panggilan tersebut. (File audio berisi rekaman hanya mereka yang menginstal neon, bukan yang mereka hubungi.)
Demikian pula, server neon dapat dimanipulasi untuk mengungkapkan catatan panggilan terbaru (juga dikenal sebagai metadata) dari salah satu penggunanya. Metadata ini berisi nomor telepon pengguna dan nomor telepon orang yang mereka panggil, ketika panggilan itu dilakukan, durasinya, dan berapa banyak uang yang dihasilkan setiap panggilan.
Tinjauan beberapa transkrip dan file audio menunjukkan beberapa pengguna mungkin menggunakan aplikasi untuk melakukan panggilan panjang yang secara diam-diam merekam percakapan dunia nyata dengan orang lain untuk menghasilkan uang melalui aplikasi.
Aplikasi dimatikan, untuk saat ini
Segera setelah kami memberi tahu neon tentang cacat pada hari Kamis, pendiri perusahaan, Kiam, mengirimkan email kepada pelanggan yang mengingatkan mereka pada shutdown aplikasi.
“Privasi data Anda adalah prioritas nomor satu kami, dan kami ingin memastikan itu sepenuhnya aman bahkan selama periode pertumbuhan yang cepat ini. Karena ini, kami untuk sementara mengambil aplikasi untuk menambahkan lapisan keamanan tambahan,” email, dibagikan dengan TechCrunch, berbunyi.
Khususnya, email tidak menyebutkan selang keamanan atau bahwa itu mengekspos nomor telepon pengguna, rekaman panggilan, dan panggilan transkrip ke pengguna lain yang tahu ke mana harus mencari.
Tidak jelas kapan neon akan kembali online atau apakah selang keamanan ini akan mendapat perhatian dari toko aplikasi.
Apple dan Google belum berkomentar mengikuti penjangkauan TechCrunch tentang apakah neon sesuai atau tidak dengan pedoman pengembang masing -masing.
Namun, ini bukan pertama kalinya aplikasi dengan masalah keamanan yang serius berhasil masuk ke pasar aplikasi ini. Baru-baru ini, aplikasi pendamping kencan seluler yang populer, TEA, mengalami pelanggaran data, yang mengekspos informasi pribadi penggunanya dan dokumen identitas yang dikeluarkan pemerintah. Aplikasi populer seperti Bumble dan Engsel terperangkap pada tahun 2024 mengekspos lokasi penggunanya. Kedua toko juga harus secara teratur membersihkan aplikasi jahat yang melewati proses peninjauan aplikasi mereka.
Ketika ditanya, Kiam tidak segera mengatakan apakah aplikasi tersebut telah mengalami tinjauan keamanan sebelum peluncurannya, dan jika demikian, siapa yang melakukan ulasan. Kiam juga tidak mengatakan, ketika ditanya, apakah perusahaan memiliki sarana teknis, seperti log, untuk menentukan apakah ada orang lain yang menemukan cacat di hadapan kami atau apakah ada data pengguna yang dicuri.
TechCrunch juga menjangkau ke muka Ventures dan Xfund, yang diklaim Kiam Posting LinkedIn telah berinvestasi di aplikasinya. Tidak ada perusahaan yang menanggapi permintaan kami untuk memberikan komentar sebagai publikasi.
