Το Neon, αποτελεί μια εφαρμογή η οποία κατάφερε μέσα σε μόλις λίγα 24ωρα να γίνει viral τις προηγούμενες ημέρες και κυριολεκτικά να κάνει όλο το internet να μιλάει για αυτήν.
Τι είναι το Neon;
Το Neon είναι μια εφαρμογή που κυκλοφόρησε μόλις πριν από λίγες ημέρες και υποσχόταν να σε πληρώσει για να προβείς σε εγγραφή κλήσεων. Στην ουσία προωθούσε τον ευαυτό του ως ένα κορυφαίο εργαλείο δημιουργίας χρημάτων για οποιονδήποτε χρήστη επέλεγε να το κατεβάσει και να το χρησιμοποιήσει. Εσύ θα ηχογραφούσες τις κλήσεις, αυτό στη συνέχεια θα σε πλήρωνε για να τις πουλήσει σε AI εταιρείες να εκπαιδεύσουν τα μοντέλα τους.
Δυστυχώς η εφαρμογή είχε άδοξο τέλος. Σύμφωνα με το techcrunch, η εφαρμογή κατέβηκε από το Apple Store, λίγο μετά την ανακάλυψη ενός σημαντικού κενού ασφαλείας, που επέτρεπε σε όλους να αποκτήσουν πρόσβαση στις συνομιλίες των άλλων χωρίς κανενός είδους πιστοποίηση. Η ιστοσελίδα ενημέρωσε τον developer της εφαρμογής για το πρόβλημα, με τον ίδιο να κατεβάζει τελικά τους servers του app.
To σημαντικό κενό ασφαλείας
Στο επίκεντρο του προβλήματος, βρισκόταν το γεγονός ότι η εφαρμογή, δεν εμπόδιζε κανέναν χρήστη που ήταν συνδεδεμένος στην εφαρμογή από το να αποκτήσει πρόσβαση στις συνομιλίες των άλλων χρηστών. Η ιστοσελίδα δημιούργησε έναν νέο λογαριασμό και επιβεβαίωσε τον αριθμό της για να μπορέσει να χρησιμοποιήσει την εφαρμογή. Στη συνέχεια χρησιμοποίησαν ένα εργαλείο ανάλυσης traffic που αποκαλείται Burp Suite για να μπορέσει να να κάνει inspect τα δεδομένα που έρχονται και έφευγαν από το Neon app. Θέλησαν δηλαδή να καταλάβουν πως λειτουργούσε η εφαρμογή σε τεχνικό πίπεδο και πως επικοινωνεί με τους back-end servers.
Μετά τη διενέργεια ορισμένων δοκιμαστικών κλήσεων η εφαρμογή παρουσίαζε τις πρόσφατες κλήσεις και το πόσα χρήματα κέρδισαν. Ωστόσο μπόρεσαν να εντοπίσουν στοιχεία που δεν θα μπορούσε ο απλός αρχάριος χρήστης να δει, όπως το text-based transcript της κλήσης αλλά και μια διεύθυνση όπου ο καθένας μπορούσε να έχει πρόσβαση στα αρχεία ήχου οποιουδήποτε.
Παράλληλα, οι servers του Neon μπορούσαν να ξεγελαστούν για να αποκαλύψουν πληροφορίες για το πιο πρόσφατο ιστορικό κλήσεωνοποιουδήποτε χρήστη. Τα γνωστά metadata αν τα έχεις ακούσει, όπως και τον αριθμό του ατόμου που καλούσες, την διάρκεια της κλήσης και πόσα χρήματα κέρδισε η κλήση.
Η εφαρμογή αποσυρέται προς το παρόν
Λίγο αργότερα, μετά τις εν λόγω ανακαλύψεις του Techcrunch, ο developer του app έστειλε mail στους χρήστες προειδοποιώντας τους ότι αυτή θα σταματήσει τη λειτουργία της. Συγκεκριμένα αυτή αναφέρει: Η προστασία των δεδομένων σας είναι η πρώτη μας προτεραιότητα και θέλουμε να διασφαλίσουμε ότι είναι απόλυτα ασφαλής, ακόμη και σε αυτή την περίοδο ταχείας ανάπτυξης. Για αυτόν τον λόγο, αποσύρουμε προσωρινά την εφαρμογή για να προσθέσουμε επιπλέον επίπεδα ασφάλειας.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
