Una aplicación viral llamada neón, que Ofertas para grabar sus llamadas telefónicas y pagarle por el audio Por lo tanto, puede vender esos datos a las compañías de IA, ha aumentado rápidamente a las filas de las cinco mejores aplicaciones de iPhone gratuitas desde su lanzamiento la semana pasada.
La aplicación ya tiene miles de usuarios y se descargó 75,000 veces ayer sola, según App Intelligence Provider AppFigues. Neon se presenta como una forma para que los usuarios realicen registros de llamadas que ayuden a entrenar, mejorar y probar los modelos de IA.
Pero ahora Neon se ha desconectado, al menos por ahora, después de que un defecto de seguridad permitió a cualquiera acceder a los números de teléfono, las grabaciones de llamadas y las transcripciones de cualquier otro usuario, TechCrunch ahora puede informar.
TechCrunch descubrió la falla de seguridad durante una breve prueba de la aplicación el jueves. Alertamos al fundador de la aplicación, Alex Kiam (quien anteriormente no respondió a una solicitud de comentarios sobre la aplicación), al defecto poco después de nuestro descubrimiento.
Kiam le dijo a TechCrunch más tarde el jueves que eliminó los servidores de la aplicación y comenzó a notificar a los usuarios sobre la detención de la aplicación, pero no logró informar a sus usuarios sobre el lapso de seguridad.
La aplicación de neón dejó de funcionar poco después de contactar a Kiam.
Grabaciones de llamadas y transcripciones expuestas
La culpa fue el hecho de que los servidores de la aplicación Neon no impidían que ningún usuario iniciado accediera a los datos de otra persona.
TechCrunch creó una nueva cuenta de usuario en un iPhone dedicado y verificó un número de teléfono como parte del proceso de registro. Utilizamos una herramienta de análisis de tráfico de red llamada BURP Suite para inspeccionar los datos de la red que fluyen dentro y fuera de la aplicación Neon, lo que nos permite comprender cómo funciona la aplicación a nivel técnico, como cómo la aplicación se comunica con sus servidores de fondo.
Después de hacer algunas llamadas telefónicas de prueba, la aplicación nos mostró una lista de nuestras llamadas más recientes y cuánto dinero ganó cada llamada. Pero nuestra herramienta de análisis de red reveló detalles que no eran visibles para los usuarios regulares en la aplicación Neon. Estos detalles incluyeron la transcripción basada en texto de la llamada y una dirección web a los archivos de audio, a los que cualquiera podría acceder públicamente siempre que tuviera el enlace.
Por ejemplo, aquí puede ver la transcripción de nuestra llamada de prueba entre dos reporteros de TechCrunch que confirman que la grabación funcionó correctamente.
Pero los servidores de backend también fueron capaces de escupir resmas de las grabaciones de llamadas de otras personas y sus transcripciones.
En un caso, TechCrunch descubrió que los servidores de neón podían producir datos sobre las llamadas más recientes realizadas por los usuarios de la aplicación, así como proporcionar enlaces web públicos a sus archivos de audio sin procesar y el texto de transcripción de lo que se dijo en la llamada. (Los archivos de audio contienen grabaciones de solo aquellos que instalaron neón, no aquellos con los que se contactaron).
Del mismo modo, los servidores de neón podrían ser manipulados para revelar los registros de llamadas más recientes (también conocidos como metadatos) de cualquiera de sus usuarios. Estos metadatos contenían el número de teléfono del usuario y el número de teléfono de la persona a la que llaman, cuando se hizo la llamada, su duración y cuánto dinero se ganó cada llamada.
Una revisión de un puñado de transcripciones y archivos de audio sugiere que algunos usuarios pueden estar utilizando la aplicación para hacer largas llamadas que registran encubierte las conversaciones del mundo real con otras personas para generar dinero a través de la aplicación.
La aplicación se cierra, por ahora
Poco después de alertar a Neon sobre el defecto el jueves, el fundador de la compañía, Kiam, envió un correo electrónico a los clientes que los alertaron sobre el cierre de la aplicación.
«Su privacidad de datos es nuestra prioridad número uno, y queremos asegurarnos de que esté completamente seguro incluso durante este período de rápido crecimiento. Debido a esto, estamos tomando temporalmente la aplicación para agregar capas adicionales de seguridad», dice el correo electrónico, compartido con TechCrunch.
En particular, el correo electrónico no menciona un lapso de seguridad o que expuso los números de teléfono de los usuarios, las grabaciones de llamadas y las transcripciones de llamadas a cualquier otro usuario que supiera dónde buscar.
No está claro cuándo Neon volverá a estar en línea o si este lapso de seguridad atraerá la atención de las tiendas de aplicaciones.
Apple y Google aún no han respondido a las solicitudes de comentarios de TechCrunch sobre si Neon cumplía o no con sus respectivas pautas de desarrolladores.
Sin embargo, esta no sería la primera vez que una aplicación con serios problemas de seguridad ha llegado a estos mercados de aplicaciones. Recientemente, una popular aplicación complementaria de citas móviles, Té, experimentó una violación de datosque expuso la información personal de sus usuarios y los documentos de identidad emitidos por el gobierno. Aplicaciones populares como Bumble y bisagra fueron atrapados en 2024 exponiendo las ubicaciones de sus usuarios. Ambas tiendas también tienen que Purgar regularmente aplicaciones maliciosas que pasan más allá de los procesos de revisión de sus aplicaciones.
Cuando se le preguntó, Kiam no dijo de inmediato si la aplicación se había sometido a alguna revisión de seguridad antes de su lanzamiento y, de ser así, quién realizó la revisión. Kiam tampoco dijo, cuando se le preguntó, si la empresa tiene los medios técnicos, como los registros, para determinar si alguien más encontró la falla que nos ante nosotros o si se robaron los datos del usuario.
TechCrunch también contactó a Upfront Ventures y Xfund, que Kiam reclama en una publicación de LinkedIn han invertido en su aplicación. Ninguna empresa ha respondido a nuestras solicitudes de comentarios a partir de la publicación.
