كشف باحث أمني عن ثغرة خطيرة في تطبيق Call Filter الخاص بشركة Verizon، كانت تسمح للمستخدمين بالوصول إلى سجلات المكالمات الواردة لأرقام أخرى دون تفويض، من خلال واجهة برمجة تطبيقات (API) غير مؤمنة.
تفاصيل الثغرة الأمنية
في 22 فبراير 2025، أبلغ الباحث الأمني إيفان كونلي عن ثغرة في واجهة API التابعة للنطاق:
clr-aqx.cequintvzwecid.com/clr/callLogRetrieval
حيث تبيّن أن التطبيق لم يتحقق من تطابق رقم الهاتف المُستخدم في الطلب مع الرقم الذي يتم طلب سجلاته، ما يتيح لجهة خبيثة تعديل الطلب والوصول إلى سجل مكالمات واردة لهاتف آخر تابع لـ Verizon.
احتمال استغلال الخصوصية
هذه الثغرة تمثل تهديدًا مباشرًا لـ خصوصية المستخدمين، حيث كان بالإمكان استغلالها للوصول إلى بيانات حساسة تتعلق بالمكالمات، مثل أرقام المتصلين، توقيت المكالمات، ومدتها. ومع أن الثغرة لم تُستغل علنًا بحسب التقارير، إلا أن السيناريو النظري للهجوم كان ممكنًا.
استجابة Verizon
قامت Verizon بمعالجة الخلل في 25 مارس 2025، وأكدت أنها قامت بإغلاق الثغرة وتعزيز التحقق من الهوية في واجهة التطبيق. كما أوصت المستخدمين بتحديث التطبيق إلى أحدث إصدار لضمان الحماية الكاملة.
ماذا يعني ذلك للمستخدمين؟
-
من الضروري تحديث التطبيقات بشكل دوري، لا سيما تلك المتعلقة بالاتصالات.
-
الشركات مطالبة بتطبيق التحقق المتقدم من الهوية على واجهات API.
-
على المستخدمين مراجعة الأذونات التي يمنحونها للتطبيقات، خصوصًا تلك التي تتعامل مع بيانات حساسة.
