TechCrunch rapporte qu’une faille de sécurité dans l’app iOS Neon — une application virale qui enregistre les appels et rémunère les utilisateurs pour entraîner des modèles d’IA — a permis à « tout utilisateur connecté » d’accéder aux numéros de téléphone, enregistrements audio et transcriptions d’autres comptes. L’app, qui figurait parmi le top 5 des téléchargements gratuits sur iPhone et cumulait des milliers d’utilisateurs (dont 75 000 téléchargements en une journée), a été mise hors ligne après l’alerte des journalistes.
Selon l’enquête de TechCrunch (Burp Suite à l’appui), les serveurs back-end de Neon ne bloquaient pas l’accès aux données d’autrui. Les réponses JSON de l’API incluaient des transcriptions et des liens web publics vers les fichiers audio, accessibles par quiconque disposait de l’URL. Les endpoints pouvaient également renvoyer les appels récents d’utilisateurs tiers, avec métadonnées et montants gagnés. Données exposées :
- Numéros de téléphone (utilisateur et correspondant)
- Fichiers audio des enregistrements (liens publics)
- Transcriptions textuelles des appels
- Métadonnées d’appels (horodatage, durée, revenus par appel)
🛠 Origine probable: absence de contrôle d’accès côté serveur (Broken Access Control / IDOR). TechCrunch a créé un compte test et observé que l’API renvoyait des informations non visibles dans l’app, y compris des URL publiques pour les audios. Les enregistrements ne concernaient que les utilisateurs ayant installé Neon (pas leurs correspondants non-utilisateurs), mais certains semblaient lancer de longs appels pour générer des revenus.
Réponse de l’éditeur: le fondateur Alex Kiam a coupé les serveurs et notifié une pause pour « ajouter des couches de sécurité », sans mentionner explicitement la faille ou l’exposition des données. Aucune date de remise en ligne n’est connue. Apple et Google n’ont pas commenté la conformité de l’app; Kiam n’a pas indiqué si un audit de sécurité avait eu lieu, ni si des logs permettraient de déterminer d’éventuels accès antérieurs. Des investisseurs cités (Upfront Ventures, Xfund) n’ont pas répondu à TechCrunch. IOCs: aucun indicateur technique spécifique partagé. TTPs: Broken Access Control/IDOR, endpoints listant des ressources d’autrui, URLs publiques vers médias, exfiltration via API non restreinte, observation et test via Burp Suite.
Type d’article: article de presse spécialisé visant à dévoiler une vulnérabilité et son impact sur les données des utilisateurs.
🔗 Source originale : https://techcrunch.com/2025/09/25/viral-call-recording-app-neon-goes-dark-after-exposing-users-phone-numbers-call-recordings-and-transcripts/