تطبيق شهير يسمى نيون، الذي يقدم خدمة تسجيل المكالمات الهاتفية ودفع مقابل الصوت حتى يتمكن من بيع تلك البيانات لشركات الذكاء الاصطناعي، قد ارتفع بسرعة إلى مرتبة ضمن أفضل خمسة تطبيقات مجانية على آيفون منذ إطلاقه الأسبوع الماضي.
التطبيق لديه بالفعل آلاف المستخدمين وتم تنزيله 75,000 مرة فقط يوم أمس، وفقًا لمزود معلومات التطبيقات Appfigures. يقدم نيون نفسه كوسيلة للمستخدمين لكسب المال من خلال تقديم تسجيلات المكالمات التي تساعد في تدريب وتحسين واختبار نماذج الذكاء الاصطناعي.
لكن نيون قد توقف عن العمل، على الأقل في الوقت الحالي، بعد أن سمح خلل أمني لأي شخص بالوصول إلى أرقام هواتف المستخدمين الآخرين، وتسجيلات المكالمات، والنصوص، كما يمكن أن تقارير TechCrunch.
اكتشفت TechCrunch الخلل الأمني خلال اختبار قصير للتطبيق يوم الخميس. وقد قمنا بإبلاغ مؤسس التطبيق، أليكس كيام (الذي لم يستجب سابقًا لطلب التعليق حول التطبيق)، عن الخلل بعد اكتشافنا مباشرة.
قال كيام لـ TechCrunch في وقت لاحق من يوم الخميس إنه قام بإيقاف خوادم التطبيق وبدأ في إبلاغ المستخدمين بوقف التطبيق، لكنه لم يُخبر مستخدميه عن الخلل الأمني.
توقف تطبيق نيون عن العمل بعد فترة وجيزة من اتصالنا بكيام.
تسجيلات المكالمات والنصوص مكشوفة
كان السبب في ذلك هو أن خوادم تطبيق نيون لم تكن تمنع أي مستخدم مسجل من الوصول إلى بيانات شخص آخر.
أنشأت TechCrunch حساب مستخدم جديد على آيفون مخصص وتحققنا من رقم الهاتف كجزء من عملية التسجيل. استخدمنا أداة تحليل حركة الشبكة المسماة Burp Suite لفحص البيانات الشبكية المتدفقة داخل وخارج تطبيق نيون، مما سمح لنا بفهم كيفية عمل التطبيق على المستوى الفني، مثل كيفية تواصل التطبيق مع خوادمه الخلفية.
بعد إجراء بعض المكالمات التجريبية، أظهر لنا التطبيق قائمة بأحدث مكالماتنا وكم كسبنا من كل مكالمة. لكن أداة تحليل الشبكة لدينا كشفت تفاصيل لم تكن مرئية للمستخدمين العاديين في تطبيق نيون. تضمنت هذه التفاصيل النص المكتوب للمكالمة ورابط الويب لملفات الصوت، والتي يمكن لأي شخص الوصول إليها علنًا طالما كان لديه الرابط.
على سبيل المثال، هنا يمكنك رؤية النص من مكالمتنا التجريبية بين اثنين من مراسلي TechCrunch يؤكدون أن التسجيل عمل بشكل صحيح.
حقوق الصورة: TechCrunch
لكن الخوادم الخلفية كانت قادرة أيضًا على إنتاج كميات كبيرة من تسجيلات المكالمات والنصوص الخاصة بأشخاص آخرين.
في حالة واحدة، وجدت TechCrunch أن خوادم نيون يمكن أن تنتج بيانات حول أحدث المكالمات التي أجراها مستخدمو التطبيق، بالإضافة إلى توفير روابط ويب عامة لملفات الصوت الخام الخاصة بهم والنصوص المكتوبة لما قيل في المكالمة. (تحتوي ملفات الصوت على تسجيلات فقط لأولئك الذين قاموا بتثبيت نيون، وليس أولئك الذين اتصلوا بهم.)
وبالمثل، كانت خوادم نيون يمكن التلاعب بها للكشف عن أحدث سجلات المكالمات (المعروفة أيضًا باسم البيانات الوصفية) من أي من مستخدميها. احتوت هذه البيانات الوصفية على رقم هاتف المستخدم ورقم الهاتف للشخص الذي يتصل به، ومتى تم إجراء المكالمة، ومدتها، وكم كسبت كل مكالمة.
تظهر مراجعة لعدد قليل من النصوص وملفات الصوت أن بعض المستخدمين قد يستخدمون التطبيق لإجراء مكالمات طويلة تسجل سرًا محادثات حقيقية مع أشخاص آخرين من أجل كسب المال من خلال التطبيق.
توقف التطبيق، في الوقت الحالي
بعد فترة وجيزة من إبلاغنا نيون بالخلل يوم الخميس، أرسل مؤسس الشركة، كيام، بريدًا إلكترونيًا للعملاء يُبلغهم بإيقاف التطبيق.
“خصوصية بياناتك هي أولويتنا الأولى، ونريد التأكد من أنها آمنة تمامًا حتى خلال هذه الفترة من النمو السريع. لذلك، نحن نأخذ التطبيق مؤقتًا لإضافة طبقات أمان إضافية،” جاء في البريد الإلكتروني، الذي شاركته TechCrunch.
من الجدير بالذكر أن البريد الإلكتروني لا يذكر أي شيء عن وجود خلل أمني أو أنه كشف أرقام هواتف المستخدمين، وتسجيلات المكالمات، والنصوص لأي مستخدم آخر يعرف أين يبحث.
ليس من الواضح متى ستعود نيون للعمل مرة أخرى أو ما إذا كان هذا الخلل الأمني سيحظى باهتمام متاجر التطبيقات.
لم تعلق آبل وجوجل بعد بعد التواصل مع TechCrunch حول ما إذا كانت نيون تمتثل لإرشادات المطورين الخاصة بهم.
ومع ذلك، لن تكون هذه هي المرة الأولى التي يظهر فيها تطبيق به مشاكل أمنية خطيرة في هذه الأسواق. مؤخرًا، تعرض تطبيق مواعدة شهير، Tea، لخرق بيانات، مما كشف معلومات شخصية لمستخدميه ووثائق هوية صادرة عن الحكومة. كما تم القبض على تطبيقات شهيرة مثل Bumble وHinge في عام 2024 تكشف عن مواقع مستخدميها. يجب على كلا المتجرين أيضًا تطهير التطبيقات الضارة بانتظام التي تنجح في تجاوز عمليات مراجعة التطبيقات الخاصة بهم.
عند سؤاله، لم يقل كيام على الفور ما إذا كان التطبيق قد خضع لأي مراجعة أمنية قبل إطلاقه، وإذا كان الأمر كذلك، من قام بالمراجعة. كما لم يُخبر، عند سؤاله، ما إذا كانت الشركة لديها الوسائل التقنية، مثل السجلات، لتحديد ما إذا كان أي شخص آخر قد اكتشف الخلل قبلنا أو إذا كانت أي بيانات مستخدم قد سُرقت.
تواصلت TechCrunch أيضًا مع Upfront Ventures وXfund، اللتين يدعي كيام في منشور على LinkedIn أنهما استثمرتا في تطبيقه. ولم ترد أي من الشركتين على طلباتنا للتعليق حتى وقت النشر.
