Приложение Neon, платившее за запись звонков, слило разговоры пользователей и закрылось
В конце сентября 2025 года на второе место по популярности в Apple App Store вышло приложение Neon, которое платило пользователям за запись их телефонных звонков и продавало данные ИИ-компаниям. Однако вскоре в Neon обнаружили уязвимость, которая позволяла любому желающему получить доступ к телефонным номерам, записям звонков и расшифровкам разговоров пользователей.
Официальный сайт Neon Mobile гласит, что компания платит 30 центов в минуту за звонки другим пользователям Neon, а также до 30 долларов в день за звонки другим людям. Также приложение предлагало вознаграждения за привлечение новых пользователей. Разработчики приложения продают собранные данные ИИ-компаниям, так как звонки помогают обучать, улучшать и тестировать ИИ-модели.
Согласно статистике Appfigures, только за 24 сентября 2025 года Neon загрузили более 75 000 раз, поэтому совсем неудивительно, что оно вошло в топ-5 приложений в категории «Социальные сети» в американском App Store.
Однако, как сообщает издание TechCrunch, вскоре приложение было временно отключено и неизвестно, когда Neon заработает снова.
Уязвимость в приложении обнаружили сами журналисты TechCrunch во время короткого тестирования. Проблема заключалась в том, что серверы Neon не ограничивали доступ авторизованных пользователей к данным других аккаунтов.
Журналисты создали новую учетную запись на отдельном iPhone, подтвердили свой номер телефона и использовали инструмент анализа сетевого трафика Burp Suite, чтобы понять, как Neon взаимодействует со своими серверами.
После нескольких тестовых звонков приложение отобразило список недавних вызовов и сумму, которую пользователю принес каждый из них. При этом анализ трафика выявил текстовые расшифровки разговоров, а также веб-адреса аудиофайлов звонков, которые можно было открыть, просто имея ссылку. Так, на скриншоте ниже представлен фрагмент расшифровки тестового звонка между двумя журналистами TechCrunch, подтверждающими, что запись работает.
Проблема усугублялась тем, что серверы Neon позволяли получить доступ к записям звонков и их расшифровкам для других пользователей. В ряде случаев исследователям удалось получить данные о последних звонках пользователей приложения, включая ссылки на аудиофайлы и текстовые расшифровки (записывались только пользователи Neon, но не их собеседники).
Кроме того, серверы приложения позволяли получить список последних звонков любого пользователя вместе со всеми метаданными: номерами телефонов обеих сторон, временем и длительностью звонка, а также суммой, заработанной на записи разговора. Журналисты отмечают, что изучение нескольких записей показало, что пользователи Neon звонили настоящим людям, тайно записывая разговоры, чтобы заработать через приложение.
Исследователи сообщили об этой опасной находке основателю приложения Алексу Киаму (Alex Kiam). После этого Киам, ранее не отвечавший на запросы издания, отключил серверы Neon и начал уведомлять пользователей о приостановке работы приложения. При этом в сообщении не упоминалось об обнаруженной уязвимости, из-за которой номера телефонов, записи и расшифровки разговоров были доступны любому желающему.
«Конфиденциальность ваших данных — наш главный приоритет. Мы хотим убедиться, что они полностью защищены даже в период активного роста. Поэтому мы временно отключаем приложение, чтобы добавить дополнительные уровни безопасности», — гласило уведомление.
Разработчики Neon не ответили на вопрос журналистов о том, проходило ли приложение проверку безопасности перед запуском. Также неизвестно, есть ли у компании технические средства (например, логи), чтобы определить, обнаруживал ли эту уязвимость кто-либо другой, и не были ли похищены пользовательские данные.
В TechCrunch отмечают, что неизвестно, когда Neon заработает снова, и обратят ли внимание на инцидент модераторы магазинов приложений. Представители Apple и Google не ответили на запрос издания о комментарии и о том, соответствует ли Neon правилам их площадок.