Verizon Call Filter API 漏洞可能暴露了数百万美国人的通话记录

快速阅读: 据《ITProPortal》称，网络安全研究员发现Verizon来电过滤应用漏洞，可能导致攻击者访问其他用户通话记录。此漏洞已于三月中旬修复，未被利用。专家呼吁加强API安全实践。

Verizon的来电过滤应用程序中存在一个安全漏洞，可能导致攻击者访问其他用户的来电详细信息，这一漏洞由网络安全研究员伊万·康奈利于今年二月发现，并已由大型电信公司修复。在一篇博客文章中，康奈利详细描述了这一漏洞，并警告称其可能对用户造成深远影响。

康奈利写道：“我近期在Verizon的来电过滤iOS应用程序中发现了一个安全漏洞，这使得攻击者有可能从Verizon无线客户的通话记录中获取信息。”他进一步强调，“鉴于这些数据的高价值，人们可能认为对其访问方式以及谁可以访问这些数据会有严格的保护措施。然而，实际情况却并非如此。”

来电过滤应用程序可在安卓和iOS系统上使用，提供免费版和高级版两种选择。该应用能为用户提供潜在垃圾电话提醒，允许自动屏蔽可疑号码，并已在数百万台设备上广泛应用。对iOS版本的检查显示，当有来电时，该应用程序会连接至API端点以获取用户的来电历史记录，随后在应用程序内展示这些记录。

技术分析表明，该应用程序使用以下端点来查询通话记录：https://clr-aqx.cequintvzwecid.com/clr/callLogRetrieval。此特定端点需要在认证头中包含JWT（JSON Web Token），康奈利指出，它还使用X-Ceq-MDN头来指定要获取通话记录的日志号码。“JWT由三部分组成：头部、负载和签名。它通常用于Web应用程序的身份验证和授权，”他解释道。

简而言之，这一过程应包括将特定请求中的号码与JWT中标识的用户进行比对，以此确保请求信息的用户有权访问这些信息。然而，/clr/callLogRetrieval端点并未验证X-Ceq-MDN头中指定的号码是否与JWT负载中的sub相匹配，这意味着通过在该头的值中传递目标号码，便能在应用程序中查询任何号码的通话记录日志，康奈利说道。

Verizon漏洞可能带来的广泛影响

康奈利指出，虽然这对所有用户来说都是一个隐私问题，但更广泛的公共安全和国家安全问题也牵涉其中。“通话记录极具价值，尤其是对于国家而言，正如近期电信网络Salt Typhoon漏洞的报道所揭示的那样，”他补充道。

去年十二月，一位白宫高级安全官员确认，与国家有关联的Salt Typhoon组织成功记录了“非常高层”的美国政治人物的电话对话。此次行动破坏了AT&T、Verizon和Lumen Technologies等主要电信公司的网络。

康奈利警告称，通话元数据“看似无害”，但若落入恶意行为者之手——无论是网络犯罪分子还是家庭施暴者——都有可能成为“强大的监控工具”。

“如果攻击者能够不受限制地访问另一个用户的通话记录，他们可以重建日常作息、识别频繁联系人并推断个人关系，”他写道。“时间戳可以与社交媒体或公开露面交叉对照，以绘制物理移动地图。重复出现的号码暴露私人号码或临时号码，从而危及告密者、记者或受虐幸存者。”

Salt Security网络安全策略总监埃里克·斯瓦克表示，这一漏洞凸显了“加强API安全实践的紧迫性”。

“这一事件反映了显著的API设计和实现缺陷，特别是在身份验证、授权和输入验证方面。”“这个问题可能是由于配置错误引起的，例如弱授权、不当的输入验证或缺乏访问控制，这些都使未经授权的用户能够访问超出其权限范围的数据。”

Verizon已经修复了该漏洞，该公司的一位发言人确认，修复措施已于三月中旬发布。

“Verizon意识到了这个漏洞，并与第三方应用所有者合作，在三月中旬推送了修复程序和补丁，”发言人说道。

Verizon已经修复了该漏洞，该公司的一位发言人确认，修复措施已于三月中旬发布。

“尽管没有迹象表明该漏洞曾被利用，但问题已得到解决，仅影响iOS设备。Verizon感谢研究人员负责任地披露这一发现，并高度重视安全问题。”

ITPRO更多内容