Bu verileri AI şirketlerine satabilmesi için telefon görüşmelerinizi kaydetmeyi ve measurement ses için ödeme yapmayı teklif eden Neon adlı viral bir uygulama, geçen hafta piyasaya sürülmesinden bu yana ilk beş ücretsiz iPhone uygulamalarının saflarına hızla yükseldi.
Uygulamanın zaten binlerce kullanıcısı var ve App Intelligence sağlayıcısı AppFigures’a göre dün sadece 75.000 kez indirildi. Neon, AI modellerini eğitmeye, geliştirmeye ve take a look at etmeye yardımcı olan çağrı kayıtları sağlayarak kullanıcıların yapmaları için bir yol olarak kendini gösteriyor.
Ancak şimdi Neon, en azından şimdilik, bir güvenlik kusuru, kimsenin telefon numaralarına, arama kayıtlarına ve başka bir kullanıcının transkriptlerine erişmesine izin verdikten sonra, TechCrunch’ın rapor edebileceği şimdi rapor edebildi.
TechCrunch, Perşembe günü uygulamanın kısa bir testi sırasında güvenlik kusurunu keşfetti. Uygulamanın kurucusu Alex Kiam (daha önce uygulama hakkında yorum talebine cevap vermeyen), keşifimizden hemen sonra kusura karşı uyardık.
Kiam Perşembe günü TechCrunch’a uygulamanın sunucularını indirdiğini ve kullanıcıları uygulamayı duraklatma hakkında bilgilendirmeye başladığını, ancak kullanıcılarını güvenlik atlaması hakkında bilgilendirmede yetersiz kaldığını söyledi.
Neon uygulaması Kiam ile temasa geçtikten kısa bir süre sonra çalışmayı durdurdu.
Arama kayıtları ve transkriptler maruz kaldı
Hatalı, neon uygulamasının sunucularının giriş yapmış herhangi bir kullanıcının başkasının verilerine erişmesini engellememesi gerçeğiydi.
TechCrunch, özel bir iPhone’da yeni bir kullanıcı hesabı oluşturdu ve kayıt sürecinin bir parçası olarak bir telefon numarasını doğruladı. Neon uygulamasına girip çıkan ağ verilerini incelemek için Burp Suite adlı bir ağ trafik analizi aracı kullandık ve uygulamanın arka uç sunucularıyla nasıl iletişim kurduğu gibi teknik düzeyde nasıl çalıştığını anlamamıza izin verdik.
Bazı take a look at telefon görüşmeleri yaptıktan sonra, uygulama bize en son çağrılarımızın bir listesini ve her birinin ne kadar para kazandığını gösterdi. Ancak ağ analiz aracımız, neon uygulamasındaki regular kullanıcılar tarafından görünmeyen ayrıntıları ortaya çıkardı. Bu ayrıntılar, çağrının metin tabanlı transkriptini ve ses dosyalarına bir net adresini içeriyor ve bağlantıya sahip oldukları sürece herkesin kamuya erişebileceği.
Örneğin, burada iki TechCrunch gazetecisi arasındaki take a look at çağrımızdan transkripti, kaydın düzgün çalıştığını doğrulayan görebilirsiniz.
Ancak arka uç sunucuları, diğer insanların çağrı kayıtlarının ve transkriptlerinin toplanmasını tükürebilirdi.
Bir durumda, TechCrunch, neon sunucularının uygulamanın kullanıcıları tarafından yapılan en son çağrılar hakkında veri üretebileceğini ve ham ses dosyalarına genel net bağlantıları ve çağrıda söylenenlerin transkript metnini sağlayabildiğini buldu. (Ses dosyaları, iletişim kurdukları değil, sadece neon yükleyenlerin kayıtlarını içerir.)
Benzer şekilde, neon sunucuları, en son çağrı kayıtlarını (meta veri olarak da bilinir) herhangi bir kullanıcılarından ortaya çıkarmak için manipüle edilebilir. Bu meta veriler, kullanıcının telefon numarasını ve aradıkları kişinin telefon numarasını, çağrı yapıldığında, süresi ve her bir çağrının ne kadar para kazandığını içeriyordu.
Bir avuç transkript ve ses dosyasının gözden geçirilmesi, bazı kullanıcıların uygulamayı, uygulama aracılığıyla para üretmek için diğer kişilerle gerçek dünya konuşmalarını gizlice kaydeden uzun çağrılar yapmak için kullanabileceğini gösteriyor.
Uygulama şimdilik kapanıyor
Neon’u Perşembe günü kusurda uyardıktan kısa bir süre sonra, şirketin kurucusu Kiam, müşterilere uygulamanın kapanmasına karşı uyaran bir e -posta gönderdi.
TechCrunch ile paylaşılan e -posta, “Veri gizliliğiniz bir numaralı önceliğimizdir ve bu hızlı büyüme döneminde bile tamamen güvenli olduğundan emin olmak istiyoruz. Bu nedenle, ekstra güvenlik katmanları eklemek için uygulamayı geçici olarak indiriyoruz” diyor.
Özellikle, e -posta, bir güvenlik atlamasından veya kullanıcıların telefon numaralarını maruz bıraktığını, kayıtları çağırmasını ve nereye bakacağını bilen başka bir kullanıcıya transkriptleri aradığını belirtmez.
Neon’un ne zaman çevrimiçi olacağı veya bu güvenlik atlamasının uygulama mağazalarının dikkatini çekip çekmeyeceği belli değil.
Apple ve Google, TechCrunch’ın Neon’un ilgili geliştirici yönergelerine uygun olup olmadığı hakkında yorum taleplerine henüz yanıt vermedi.
Ancak, bu, ciddi güvenlik sorunları olan bir uygulamanın bu uygulama pazarlarına ilk kez yapmadığı zaman olmayacaktır. Son zamanlarda, popüler bir mobil tanışma arkadaşı uygulaması olan Tea, kullanıcılarının kişisel bilgilerini ve devlet tarafından verilen kimlik belgelerini ortaya çıkaran bir veri ihlali yaşadı. Bumble ve Hinge gibi popüler uygulamalar 2024’te kullanıcılarının konumlarını ortaya çıkararak yakalandı. Her iki mağaza da uygulama inceleme süreçlerini aşan kötü niyetli uygulamaları düzenli olarak temizlemelidir.
Sorulduğunda Kiam, uygulamanın lansmanından önce herhangi bir güvenlik incelemesi yapıp yapmadığını ve eğer öyleyse, incelemeyi kimin gerçekleştirdiğini hemen söylemedi. Kiam ayrıca, şirketin günlükler gibi teknik araçlara sahip olup olmadığını, başka birinin kusuru önümüzde bulup bulmadığını veya herhangi bir kullanıcı verisinin çalındığını belirlemek için söylemedi.
TechCrunch ayrıca Kiam’ın iddia ettiği Upfront Ventures ve XFund’a ulaştı. Bir LinkedIn Post uygulamasına yatırım yaptım. Her iki firma da yayın olarak yorum taleplerimize yanıt vermedi.
