Вирусное мобильное приложение Neon, которое позволяет записывать телефонные разговоры и предлагает пользователям зарабатывать на продаже аудио искусственному интеллекту, оказалось в центре масштабного скандала с безопасностью данных. С момента запуска на прошлой неделе приложение стремительно вошло в пятерку самых популярных бесплатных приложений для iPhone, а всего за один день его загрузили более 75 тысяч раз, согласно данным аналитической компании Appfigures.
Об этом сообщает ProIT
Утечка звонков, номеров и транскриптов
Neon позиционировал себя как платформу, на которой пользователи могут получать вознаграждение за предоставление записей своих разговоров для тренировки и тестирования искусственного интеллекта. Однако приложение было отключено после того, как была обнаружена критическая уязвимость: через нее любой авторизованный пользователь мог получить доступ к телефонным номерам, записям разговоров и текстовым транскриптам других пользователей.
Во время проверки работы Neon на отдельном iPhone специалисты по безопасности с помощью инструмента Burp Suite обнаружили, что серверы приложения не защищают личную информацию: при наличии соответствующей ссылки можно было получить аудиофайлы разговоров и текстовые транскрипты, а также метаданные – номера телефонов обоих собеседников, время звонка, его продолжительность и сумму заработанных средств за каждый звонок.
Также стало известно, что серверы Neon могли предоставить данные о последних звонках любого пользователя, включая публичные веб-ссылки на сырые аудиофайлы и текстовые расшифровки разговоров. Анализ нескольких таких записей свидетельствует о том, что некоторые пользователи могли использовать приложение для скрытой записи реальных диалогов с целью получения прибыли.
Остановка работы и вопросы к безопасности
Основатель приложения Алекс Киам оперативно отреагировал на сообщения о уязвимости, отключил серверы и уведомил пользователей о временном приостановлении работы Neon, однако не указал на сам факт утечки данных.
“Конфиденциальность ваших данных является нашим приоритетом, и мы хотим убедиться, что она полностью защищена даже в этот период быстрого роста. Поэтому мы временно отключаем приложение, чтобы добавить дополнительные уровни безопасности”, — говорится в официальном письме к пользователям.
В сообщении не упоминается, что уязвимость позволила третьим лицам получить доступ к персональным данным других пользователей. В настоящее время неизвестно, когда именно Neon восстановит работу и привлечет ли эта ситуация внимание администраций App Store и Google Play, которые еще не прокомментировали соответствие приложения своим правилам.
Подобные инциденты не в первый раз происходят с мобильными приложениями: недавно популярное приложение для знакомств Tea также пострадало от утечки личных данных пользователей, а Bumble и Hinge в начале 2024 года фиксировали утечки геолокаций. Маркеты мобильных приложений регулярно сталкиваются с необходимостью удаления вредоносных приложений, которые проходят модерацию.
Киам не ответил на вопросы о прохождении приложением проверки безопасности перед запуском, а также не сообщил, есть ли технические возможности определить, воспользовался ли кто-то еще этой уязвимостью и были ли украдены данные пользователей. Инвесторы, которых Киам упоминает в LinkedIn (Upfront Ventures и Xfund), также не предоставили комментариев по ситуации.