De populaire gespreksopname-app Call Recorder bevatte een kwetsbaarheid waardoor aanvallers toegang tot de opnames van gebruikers konden krijgen. De enige vereiste was dat een aanvaller het telefoonnummer van het slachtoffer kende, zo ontdekte beveiligingsonderzoeker Anand Prakash.

De onderzoeker kwam erachter dat het eenvoudig was om de opnames van gebruikers die in een Amazon S3-bucket worden opgeslagen te benaderen. Hiervoor moest het verkeer worden aangepast door middel van bijvoorbeeld Burp Suite of Zed Attack Proxy. Alleen door het aanpassen van een request, waarbij het telefoonnummer van het slachtoffer werd toegevoegd, kon er toegang tot de opnames worden verkregen. Er was geen authenticatie vereist.

Volgens TechCrunch bevatte de S3-bucket van de app meer dan 130.000 opnames. Het ging in totaal om driehonderd gigabyte aan data. De kwetsbaarheid werd op 27 februari ontdekt, op 6 maart rolden de ontwikkelaars een nieuwe versie uit waarin het probleem is verholpen. Call Recorder behoort tot de populairste apps in de bedrijfscategorie van de Apple App Store.