Una aplicación viral llamada Neon, que ofrece grabar sus llamadas telefónicas y pagarle por el audio para que pueda vender esos datos a las compañías de IA, ha aumentado rápidamente a las filas de las cinco mejores aplicaciones de iPhone desde su lanzamiento la semana pasada.
La aplicación ya tiene miles de usuarios y se descargó 75, 000 veces ayer sola, según Application Knowledge Provider AppFigues. Neon se presenta como una forma para que los usuarios ganen dinero al proporcionar grabaciones de llamadas que ayudan a entrenar, mejorar y probar los modelos de IA.
Pero Neon se ha desconectado, al menos por ahora, después de que un defecto de seguridad permitió a cualquiera acceder a los números de teléfono, las grabaciones de llamadas y las transcripciones de cualquier otro usuario, TechCrunch ahora puede informar.
TechCrunch descubrió la falla de seguridad durante una breve prueba de la aplicación el jueves. Alertamos al fundador de la aplicación, Alex Kiam (quien anteriormente no respondió a una solicitud de comentarios sobre la aplicación), al defecto poco después de nuestro descubrimiento.
Kiam le dijo a TechCrunch más tarde el jueves que eliminó los servidores de la aplicación y comenzó a notificar a los usuarios sobre la detención de la aplicación, pero no logró informar a sus usuarios sobre el lapso de seguridad.
La aplicación de neón dejó de funcionar poco después de contactar a Kiam.
Grabaciones de llamadas y transcripciones expuestas
La culpa fue el hecho de que los servidores de la aplicación Neon no impidían que ningún usuario iniciado accediera a los datos de otra identity.
TechCrunch creó una nueva cuenta de usuario en un apple iphone dedicado y verificó un número de teléfono como parte del proceso de registro. Utilizamos una herramienta de análisis de tráfico de red llamada BURP Suite para inspeccionar los datos de la red que fluyen dentro y fuera de la aplicación Neon, lo que nos permite comprender cómo funciona la aplicación a nivel técnico, como cómo la aplicación se comunica con sus servidores de fondo.
Después de hacer algunas llamadas telefónicas de prueba, la aplicación nos mostró una lista de nuestras llamadas más recientes y cuánto dinero ganó cada llamada. Pero nuestra herramienta de análisis de red reveló detalles que no eran visibles para los usuarios regulares en la aplicación Neon. Estos detalles incluyeron la transcripción basada en texto de la llamada y una dirección internet a los archivos de sound, a los que cualquiera podría acceder públicamente siempre que tuviera el enlace.
Por ejemplo, aquí puede ver la transcripción de nuestra llamada de prueba entre dos reporteros de TechCrunch que confirman que la grabación funcionó correctamente.
Pero los servidores de back-end también fueron capaces de escupir resmas de las grabaciones de llamadas de otras characters y sus transcripciones.
En un caso, TechCrunch descubrió que los servidores de neón podían producir datos sobre las llamadas más recientes realizadas por los usuarios de la aplicación, así como proporcionar enlaces web públicos a sus archivos de audio sin procesar y el texto de transcripción de lo que se dijo en la llamada. (Los archivos de sound contienen grabaciones de solo aquellos que instalaron neón, no aquellos con los que se contactaron).
Del mismo modo, los servidores de neón podrían ser manipulados para revelar los registros de llamadas más recientes (también conocidos como metadatos) de cualquiera de sus usuarios. Estos metadatos contenían el número de teléfono del usuario y el número de teléfono de la personality a la que llaman, cuando se hizo la llamada, su duración y cuánto dinero se ganó cada llamada.
Una revisión de un puñado de transcripciones y archivos de audio sugiere que algunos usuarios pueden estar utilizando la aplicación para hacer largas llamadas que registran encubierte las conversaciones del mundo actual con otras personas para generar dinero a través de la aplicación.
La aplicación se cierra, por ahora
Poco después de alertar a Neon sobre el defecto el jueves, el fundador de la compañía, Kiam, envió un correo electrónico a los clientes que los alertaron sobre el cierre de la aplicación.
“Su privacidad de datos es nuestra prioridad número uno, y queremos asegurarnos de que esté completamente seguro incluso durante este período de rápido crecimiento. Debido a esto, estamos tomando temporalmente la aplicación para agregar capas adicionales de seguridad”, dice el correo electrónico, compartido disadvantage TechCrunch.
En particular, el correo electrónico no menciona un lapso de seguridad o que expuso los números de teléfono de los usuarios, las grabaciones de llamadas y las transcripciones de llamadas a cualquier otro usuario que supiera dónde buscar.
No está claro cuándo Neon volverá a estar en línea o si este lapso de seguridad atraerá la atención de las tiendas de aplicaciones.
Apple y Google aún no han comentado después del alcance de TechCrunch sobre si Neon cumplía o no disadvantage sus respectivas pautas de desarrolladores.
Wrong stoppage, esta no sería la primera vez que una aplicación disadvantage serios problemas de seguridad ha llegado a estos mercados de aplicaciones. Recientemente, una preferred aplicación de acompañamiento de citas móviles, TEA, experimentó una violación de datos, que expuso la información individual de sus usuarios y los documentos de identidad emitidos por el gobierno. Las aplicaciones populares como Bumble y Bishing fueron atrapadas en 2024 exponiendo las ubicaciones de sus usuarios. Ambas tiendas también tienen que purgar regularmente aplicaciones maliciosas que pasen por los procesos de alteration de sus aplicaciones.
Cuando se le preguntó, Kiam no dijo de inmediato si la aplicación se había sometido a alguna alteration de seguridad antes de su lanzamiento y, de ser así, quién realizó la alteration. Kiam tampoco dijo, cuando se le preguntó, si la empresa tiene los medios técnicos, como los registros, para determinar si alguien más encontró la falla que nos ante nosotros o si se robaron los datos del usuario.
TechCrunch también contactó a Upfront Ventures y Xfund, que Kiam reclama en una publicación de LinkedIn han invertido en su aplicación. Ninguna empresa ha respondido a nuestras solicitudes de comentarios a partir de la publicación.
