В конце сентября 2025 года приложение Neon стремительно поднялось в рейтингах Apple App Store — до второго места по популярности в США — благодаря необычной модели монетизации: сервис платил за запись телефонных разговоров и продавал полученные данные компаниям, работающим с ИИ. Вскоре после взлета журналисты выявили критическую уязвимость, из‑за которой сторонние пользователи могли получить доступ к номерам телефонов, аудиозаписям и расшифровкам чужих звонков. После публикации сведений сервис был временно отключен.
Как работал Neon и почему он быстро вырос
Согласно информации на сайте Neon Mobile, пользователи получали 0,30 доллара за минуту за звонки между абонентами Neon и до 30 долларов в день за разговоры с другими собеседниками; действовала реферальная программа. Собранные записи и транскрипты компания продавала ИИ‑организациям для обучения и тестирования моделей. По данным Appfigures, только 24 сентября 2025 года приложение скачали более 75 000 раз, что вывело его в топ‑5 категории «Социальные сети» в американском App Store.
Что обнаружили журналисты: несанкционированный доступ к чужим данным
Издание TechCrunch во время тестирования обнаружило дефект серверной авторизации. Исследователи создали новый аккаунт на отдельном iPhone, подтвердили номер телефона и с помощью анализатора трафика Burp Suite изучили сетевые запросы приложения. Выяснилось, что сервер не проверял права доступа на уровне объектов, позволяя авторизованному пользователю получать данные других аккаунтов.
Раскрытые артефакты и масштаб проблемы
Через сетевые ответы приложение возвращало ссылки на аудиофайлы звонков и текстовые расшифровки. Эти URL можно было открыть при наличии прямой ссылки. Более того, сервер предоставлял списки последних вызовов произвольных пользователей с метаданными: номера обеих сторон, время и длительность разговоров, а также сумму, которую принесла запись. По наблюдениям журналистов, в ряде случаев записывались именно пользователи Neon, а не их собеседники, что усугубляло риски приватности для третьих лиц.
Классификация уязвимости и риски для приватности
Технически ситуация соответствует классу Broken Access Control / IDOR (Insecure Direct Object Reference) — проблеме номер один в OWASP Top 10, при которой отсутствует корректная серверная проверка полномочий на доступ к конкретным объектам (записям, транскриптам, метаданным). Последствия — экспозиция персональных идентификаторов (номеров телефонов) и чувствительного содержимого (аудио/текста разговоров), что повышает риски фишинга, шантажа, доцсинга и иного вредоносного использования.
Реакция Neon и открытые вопросы
Сооснователь проекта Алекс Киам, получив уведомление от журналистов, отключил серверы и разослал пользователям сообщение о приостановке работы для «добавления дополнительных уровней безопасности». В уведомлении не упоминалось о конкретной уязвимости. Представители Neon не уточнили, проводилась ли независимая проверка безопасности перед релизом и существуют ли логи, позволяющие оценить возможный несанкционированный доступ сторонних лиц. Сроки восстановления сервиса неизвестны. Apple и Google на запросы о соответствии приложения их правилам не ответили.
Экспертный разбор: как предотвратить повторение
Подобные инциденты предотвращаются совокупностью инженерных и процессных мер: строгая серверная авторизация на уровне объектов (ACL/ABAC), принцип наименьших привилегий, проверка «владельца» ресурса перед выдачей контента, отказ от прямых открытых ссылок на медиа (использование краткоживущих подписанных URL и обязательной повторной авторизации), сегментация данных и изоляция окружений.
Практики безопасной разработки
Рекомендуется встраивать безопасность в SDLC: моделирование угроз, покрытие модульными и интеграционными тестами на доступ к чужим объектам, регулярные SAST/DAST‑сканы, ревью API, пентесты и баг‑баунти. Критичны централизованное логирование и мониторинг аномалий доступа, чтобы оперативно выявлять массовые выгрузки. Шифрование на хранении и в транзите важно, но не заменяет корректной авторизации. Для продуктов, работающих с голосом и транскриптами, необходимы privacy‑by‑design и прозрачные механизмы согласия пользователей.
Случай Neon — показатель того, насколько опасен изъян контроля доступа в приложениях, которые обрабатывают персональные данные и голосовые записи. Пользователям стоит внимательно относиться к сервисам, монетизирующим приватные данные: изучать условия обработки, ограничивать разрешения и оперативно отзывать доступ при сомнениях. Разработчикам — ставить защиту данных и проверку авторизации в приоритетную повестку релизов и проверок качества.
