Entrada

La aplicación de grabación de llamadas viral Neon se pone en modo oscuro después de exponer los números de teléfono, las grabaciones de llamadas y los transcripciones de los usuarios.

Publicado
Por TheCodic
5 min de lectura

Vista desde arriba de algunos teléfonos rotatorios vintage de color verde dispuestos sobre un fondo marrón, destacando la tecnología de comunicación retro con un toque nostálgico y artístico

Créditos de la imagen: Javier Zayas Photography / Getty Images

Una aplicación viral llamada Neon, que ofrece registrar tus llamadas telefónicas y pagarte por el audio para vender ese dato a empresas de inteligencia artificial, ha subido rápidamente a las listas de las cinco aplicaciones gratuitas más populares en la App Store desde su lanzamiento la semana pasada.

La aplicación ya tiene miles de usuarios y fue descargada 75.000 veces solo ayer, según el proveedor de inteligencia de aplicaciones Appfigures. Neon se presenta como una forma para los usuarios de ganar dinero proporcionando grabaciones de llamadas que ayudan a entrenar, mejorar y probar modelos de inteligencia artificial.

Sin embargo, Neon ha dejado de funcionar, al menos temporalmente, después de que se descubriera una falla de seguridad que permitió a cualquier usuario acceder a los números de teléfono, grabaciones de llamadas y transcripciones de otros usuarios, según puede informar TechCrunch.

TechCrunch descubrió la falla de seguridad durante una prueba breve de la aplicación el jueves. Alertamos al fundador de la aplicación, Alex Kiam (quien anteriormente no respondió a una solicitud de comentarios sobre la aplicación), sobre la falla poco después de nuestro descubrimiento.

Kiam le dijo a TechCrunch más tarde el jueves que había apagado los servidores de la aplicación y había comenzado a notificar a los usuarios sobre la suspensión de la aplicación, pero no informó a sus usuarios sobre la falla de seguridad.

La aplicación Neon dejó de funcionar poco después de que contactáramos a Kiam.

La culpa recae en el hecho de que los servidores de la aplicación Neon no impedían a ningún usuario registrado acceder a los datos de otro usuario.

TechCrunch creó una nueva cuenta de usuario en un iPhone dedicado y verificó un número de teléfono como parte del proceso de registro. Utilizamos una herramienta de análisis de tráfico de red llamada Burp Suite para inspeccionar los datos de red que entraban y salían de la aplicación Neon, lo que nos permitió entender cómo funcionaba la aplicación a nivel técnico, como cómo la aplicación se comunicaba con sus servidores backend.

Después de hacer algunas llamadas de prueba, la aplicación nos mostró una lista de nuestras llamadas más recientes y cuánto dinero había ganado cada llamada. Pero nuestra herramienta de análisis de red reveló detalles que no eran visibles para los usuarios normales de la aplicación Neon. Estos detalles incluían el texto de la transcripción de la llamada y una dirección web a los archivos de audio, que cualquier persona podía acceder públicamente siempre que tuviera el enlace.

Por ejemplo, aquí puedes ver la transcripción de nuestra llamada de prueba entre dos reporteros de TechCrunch confirmando que el registro funcionó correctamente.

una respuesta JSON del servidor de Neon Mobile, que se lee como texto de transcripción de una llamada entre dos reporteros de TC, que dice: "Uh, funcionó. ¡Hooray! Okay. Gracias, amigo."

Créditos de la imagen: TechCrunch

Sin embargo, los servidores backend también podían escupir reams de grabaciones de llamadas y sus transcripciones de otros usuarios.

En un caso, TechCrunch encontró que los servidores de Neon podían producir datos sobre las llamadas más recientes realizadas por los usuarios de la aplicación, así como proporcionar enlaces públicos a sus archivos de audio en bruto y el texto de la transcripción de lo que se dijo en la llamada. (Los archivos de audio contienen grabaciones solo de aquellos que instalaron Neon, no de las personas a las que contactaron.)

De manera similar, los servidores de Neon podían ser manipulados para revelar los registros más recientes de llamadas (también conocidos como metadatos) de cualquier uno de sus usuarios. Estos metadatos contenían el número de teléfono del usuario y el número de teléfono de la persona a la que estaban llamando, cuándo se realizó la llamada, su duración y cuánto dinero había ganado cada llamada.

Una revisión de un puñado de transcripciones y archivos de audio sugiere que algunos usuarios pueden estar utilizando la aplicación para hacer llamadas largas que registran conversaciones del mundo real con otras personas para generar dinero a través de la aplicación.

Poco después de alertar a Neon sobre la falla el jueves, el fundador de la empresa, Kiam, envió un correo electrónico a los clientes informándoles sobre la suspensión de la aplicación.

“Tu privacidad de datos es nuestra prioridad número uno, y queremos asegurarnos de que esté completamente segura incluso durante este período de crecimiento rápido. Debido a esto, estamos tomando temporalmente la aplicación para agregar capas adicionales de seguridad,” dice el correo electrónico, compartido con TechCrunch.

Notablemente, el correo electrónico no menciona una falla de seguridad ni que expuso los números de teléfono, grabaciones de llamadas y transcripciones de llamadas a cualquier otro usuario que supiera dónde buscar.

No está claro cuándo Neon volverá a estar en línea o si esta falla de seguridad llamará la atención de las tiendas de aplicaciones.

Apple y Google aún no han respondido a las solicitudes de comentarios de TechCrunch sobre si Neon cumplía o no con sus respectivas directrices para desarrolladores.

Sin embargo, esto no sería la primera vez que una aplicación con serios problemas de seguridad ha llegado a estos mercados de aplicaciones. Recientemente, una popular aplicación de acompañante de citas móviles, Tea, experimentó una brecha de datos, que expuso la información personal y los documentos de identidad emitidos por el gobierno de sus usuarios. Populares como Bumble y Hinge fueron atrapados en 2024 exponiendo las ubicaciones de sus usuarios. Ambos mercados también tienen que eliminar regularmente aplicaciones maliciosas que pasan por sus procesos de revisión de aplicaciones.

Cuando se le preguntó, Kiam no dijo de inmediato si la aplicación había pasado alguna revisión de seguridad antes de su lanzamiento, y si es así, quién la realizó. Kiam tampoco dijo, cuando se le preguntó, si la empresa tiene los medios técnicos, como registros, para determinar si alguien más encontró la falla antes que nosotros o si se robó algún dato de usuario.

TechCrunch también contactó a Upfront Ventures y Xfund, que Kiam afirma en una publicación de LinkedIn que han invertido en su aplicación. Ninguna de las dos empresas ha respondido a nuestras solicitudes de comentarios hasta la fecha de publicación.

Apps Privacy Security TC apple app store security call recording cybersecurity Exclusive neon Neon Mobile
Esta entrada está licenciada bajo CC BY 4.0 por el autor.