A aplicação Neon e seu rápido crescimento
A aplicação viral chamada Neon, que oferece o serviço de gravação de chamadas telefônicas e remunerará os usuários pelo áudio, visando vender esses dados para empresas de inteligência artificial, rapidamente se tornou uma das cinco principais aplicações gratuitas para iPhone desde seu lançamento na semana passada.
Segundo o fornecedor de inteligência de aplicativos Appfigures, a Neon já conta com milhares de usuários e foi baixada 75 mil vezes apenas ontem. A proposta da Neon é a de permitir que os usuários ganhem dinheiro ao fornecer gravações de chamadas que ajudam a treinar, melhorar e testar modelos de inteligência artificial.
Falha de segurança leva à suspensão da aplicação
No entanto, a Neon saiu do ar, ao menos temporariamente, após uma falha de segurança permitir que qualquer parcela do público acessasse os números de telefone, gravações de chamadas e transcrições de outros usuários, conforme noticiado pelo TechCrunch.
O site TechCrunch identificou a falha de segurança durante um teste da aplicação na quinta-feira. Após a descoberta, alertamos o fundador da aplicação, Alex Kiam, que anteriormente não havia respondido a solicitações de comentários sobre o aplicativo, sobre a falha.
Kiam informou ao TechCrunch, na quinta-feira à noite, que desativou os servidores da aplicação e iniciou um processo de notificação aos usuários para que suspendessem o uso do aplicativo, mas não informou seus usuários sobre a falha de segurança.
A aplicação Neon deixou de funcionar logo após nosso contato com Kiam.
Gravações de chamadas e transcrições expostas
A falha se deveu ao fato de que os servidores da aplicação Neon não estavam restringindo o acesso de usuários logados aos dados de outras pessoas.
O TechCrunch criou uma nova conta de usuário em um iPhone dedicado e verificou um número de telefone como parte do processo de cadastro. Utilizamos uma ferramenta de análise de tráfego de rede chamada Burp Suite para inspecionar os dados de rede que fluíam dentro e fora da aplicação Neon, permitindo que compreendêssemos como a aplicação funciona em um nível técnico, incluindo a forma como a aplicação se comunica com seus servidores de backend.
Após realizar algumas chamadas de teste, a aplicação mostrou uma lista das chamadas mais recentes e quanto cada chamada havia gerado de retorno financeiro. No entanto, nossa ferramenta de análise de rede revelou detalhes que não eram visíveis para usuários regulares na aplicação Neon. Esses detalhes incluíam a transcrição textual da chamada e um endereço web para os arquivos de áudio, que qualquer pessoa poderia acessar publicamente, desde que tivesse o link.
Por exemplo, verificou-se a transcrição de nossa chamada de teste entre dois repórteres do TechCrunch, confirmando que a gravação foi realizada com sucesso.
Os servidores de backend também eram capazes de fornecer um grande volume de gravações de chamadas e suas respectivas transcrições de outros usuários.
Em um caso, o TechCrunch constatou que os servidores da Neon poderiam gerar dados sobre as chamadas mais recentes feitas pelos usuários da aplicação, além de fornecer links públicos para seus arquivos de áudio brutos e o texto da transcrição do que foi dito na chamada. (Os arquivos de áudio contêm as gravações apenas de quem instalou a Neon, e não das pessoas que contatou.)
De maneira similar, os servidores da Neon poderiam ser manipulados para revelar os registros das chamadas mais recentes (também conhecidos como metadados) de qualquer um de seus usuários. Esses metadados continham o número de telefone do usuário, o número de telefone da pessoa chamada, a data, a duração da chamada e quanto cada chamada gerou em retorno financeiro.
Uma revisão de algumas transcrições e arquivos de áudio sugere que alguns usuários podem estar utilizando a aplicação para realizar chamadas longas que registram secretamente conversas do mundo real com outras pessoas, a fim de gerar ganhos por meio da aplicação.
Aplicação fechada temporariamente
Logo após alertarmos a Neon sobre a falha na quinta-feira, o fundador da empresa, Kiam, enviou um e-mail aos clientes informando a respeito da suspensão da aplicação.
“Sua privacidade de dados é nossa prioridade número um, e queremos garantir que esteja totalmente segura, mesmo durante este período de rápido crescimento. Por isso, estamos temporariamente desativando a aplicação para adicionar camadas extras de segurança,” diz o e-mail, que foi compartilhado com o TechCrunch.
É importante notar que o e-mail não menciona a falha de segurança ou que a situação expôs os números de telefone dos usuários, gravações de chamadas e transcrições para qualquer outro usuário que soubesse como acessar essas informações.
Não está claro quando a Neon voltará a operar ou se essa falha de segurança chamará a atenção das lojas de aplicativos.
A Apple e o Google ainda não responderam às solicitações do TechCrunch sobre se a Neon estava em conformidade com suas diretrizes para desenvolvedores.
No entanto, este não seria o primeiro caso em que um aplicativo com sérias questões de segurança é disponibilizado nas lojas de aplicativos. Recentemente, um aplicativo de namoro móvel, Tea, sofreu uma violação de dados que expôs as informações pessoais de seus usuários e documentos de identidade emitidos pelo governo. Aplicativos populares como Bumble e Hinge foram flagrados em 2024 expondo as localizações de seus usuários. Ambas as lojas também precisam purgar regularmente aplicativos maliciosos que conseguem passar pelos seus processos de revisão.
Quando questionado, Kiam não informou imediatamente se o aplicativo havia passado por alguma revisão de segurança antes de seu lançamento e, caso afirmativo, quem foi o responsável pela realização da revisão. Kiam também não comentou, quando perguntado, se a empresa possui os meios técnicos, como logs, para determinar se alguém encontrou a falha antes de nós ou se há a possibilidade de que dados de usuários tenham sido roubados.
O TechCrunch também entrou em contato com os investidores Upfront Ventures e Xfund, mencionados por Kiam em uma postagem no LinkedIn, mas nenhuma das duas empresas respondeu às nossas solicitações de comentários até o momento da publicação desta matéria.
