详细内容或原文请订阅后点击阅览
Verizon呼叫记录请求中的缺陷使数百万美国人处于危险之中
一位安全研究人员发现Verizon呼叫记录请求中存在缺陷,这可能使数百万美国人处于危险之中
来源:Malwarebytes Labs 博客安全研究员Evan Connelly发现了一个巨大的缺陷,影响了世界上最大的电信公司之一,可以允许任何人查看最近传入的呼叫日志,以获取潜在的任何Verizon电话号码。
Evan Connelly “简而言之,任何人都可以为任何人查找数据,”康纳利说。 Verizon调用过滤器应用程序中的一个漏洞允许任何人请求我们数百万US Verizon客户的呼叫日志。 iOS的Verizon呼叫过滤器应用程序允许客户查看他们最近的电话的日志。该日志将向他们显示电话号码和关联的时间戳。 Verizon调用过滤器iOS应用 要请求此类日志,应用程序将请求发送到服务器以获取属于相关电话号码的数据。 对服务器的网络请求包含各种详细信息,例如您的电话号码和呼叫记录的请求时间段。然后,服务器以呼叫和时间戳的列表进行响应。 但是,事实证明,没有任何检查来确保请求信息的数字以及发送请求匹配的数字。 因此,研究人员能够为任何给定的电话号码提出请求,并获取该号码的呼叫日志,而无需该号码。结果:任何人都可以为任何Verizon Wireless客户查找数据。 研究人员没有检查每个Verizon Wireless客户是否受到此缺陷的影响。 “我发现的问题至少影响了那些启用Verizon呼叫过滤器服务的人(我没有测试一个已禁用的数字;我不能排除所有Verizon号码是否可能受到影响)。” ,但默认情况下似乎启用了Verizon调用过滤器,因此至少有很多Verizon Wireless客户会受到影响。 妥协国家安全 值得庆幸的是,Verizon认真对待了这个问题并及时解决了问题。 时间轴: 2/22/2025 - 发现并报告给Verizon 的问题 2/24/2025 - 报告的确认Evan Connelly
“简而言之,任何人都可以为任何人查找数据,”康纳利说。
Verizon调用过滤器应用程序中的一个漏洞允许任何人请求我们数百万US Verizon客户的呼叫日志。 iOS的Verizon呼叫过滤器应用程序允许客户查看他们最近的电话的日志。该日志将向他们显示电话号码和关联的时间戳。Verizon调用过滤器iOS应用
要请求此类日志,应用程序将请求发送到服务器以获取属于相关电话号码的数据。 对服务器的网络请求包含各种详细信息,例如您的电话号码和呼叫记录的请求时间段。然后,服务器以呼叫和时间戳的列表进行响应。
但是,事实证明,没有任何检查来确保请求信息的数字以及发送请求匹配的数字。
因此,研究人员能够为任何给定的电话号码提出请求,并获取该号码的呼叫日志,而无需该号码。结果:任何人都可以为任何Verizon Wireless客户查找数据。
研究人员没有检查每个Verizon Wireless客户是否受到此缺陷的影响。
“我发现的问题至少影响了那些启用Verizon呼叫过滤器服务的人(我没有测试一个已禁用的数字;我不能排除所有Verizon号码是否可能受到影响)。”
,但默认情况下似乎启用了Verizon调用过滤器,因此至少有很多Verizon Wireless客户会受到影响。妥协国家安全
值得庆幸的是,Verizon认真对待了这个问题并及时解决了问题。