Уязвимость безопасности Verizon может позволить хакерам просматривать всю историю звонков

Исследователь безопасности обнаружил уязвимость в API, используемом в мобильном приложении Verizon

Обнаруженная ошибка позволяла злоумышленникам просматривать журналы вызовов других людей. Она была найдена в феврале 2025 года и исправлена в марте, но пользователям все еще следует проявлять осторожность.

Уязвимость в API Verizon позволила злоумышленникам просматривать входящие журналы вызовов других людей до ее исправления. Исследователь информационной безопасности Эван Коннелли (Evan Connelly) обнаружил ошибку в Call Filter, бесплатном приложении, которое Verizon поставляет со всеми устройствами iOS и Android, продаваемыми напрямую через оператора связи, чтобы помочь пользователям блокировать спам-звонки, определять неизвестные номера и избегать автоматических звонков. Учитывая большую клиентскую базу Verizon, приложение, вероятно, имеет миллионы пользователей, поскольку оно предлагает функции, такие как обнаружение спама, идентификация вызывающего абонента, личные списки блокировки и автоматическая блокировка высокорисковых вызовов. Call Filter также имеет премиум-версию, которая добавляет поиск спама, пользовательские настройки и идентификацию вызывающего абонента для неизвестных номеров.

Как объяснил Коннелли, приложение подключается к точке конечного API, где оно получает историю входящих вызовов авторизованного пользователя, а затем отображает ее в приложении. Однако из-за неправильной конфигурации API номер телефона пользователя не проверяется, что означает, что любой пользователь может запросить данные для любого другого. Коннелли протестировал версию для iOS, но утверждает, что проблема не зависит от платформы, поскольку ошибка находится в API, а не в самом приложении.

Возможность просмотра журнала вызовов кого-либо может показаться незначительной, но Коннелли предупреждает, что это может быть "мощным инструментом слежки", особенно против высокопоставленных целей, таких как журналисты, оппозиционеры режиму, инакомыслящие и подобные им.

Метаданные вызовов могут показаться безвредными, но в неподходящих руках они превращаются в мощный инструмент слежки. С неограниченным доступом к истории вызовов другого пользователя злоумышленник может восстановить ежедневные маршруты, определить частых контактов и усмотреть личные отношения", - сказал Коннелли.

Verizon устранила ошибку в марте 2025 года, но мы не знаем, как долго эта информация была доступна, поэтому пользователям все еще следует проявлять повышенную осторожность.