ТОП-7 программ для записи и анализа звонков в офисе компании

 

Получение прибыли является результатом успешных продаж, сами продажи во многом зависят от эффективности обзвона лидов по телефону. Но как проверить, насколько результативно специалист использует возможности корпоративной телефонии? Компетентен ли он как пользователь специального софта, продажник, аналитик? Для начальника компании критически важно не то, что контакт с лидом состоялся. А что его результатом стала продажа. Только тогда работник признается эффективным.

Зачем осуществлять контроль всех телефонных разговоров с клиентами компании

Программа для записи звонков позволяет руководителю оценить работу специалистов того отдела в офисе, который отвечает за формирование клиентского интереса к продукту. Сотруднику недостаточно связаться с клиентом и сделать ему коммерческое предложение. Его работа заключается в том, чтобы отыскать «боли» клиента и гарантировать в диалоге их устранение.

Функционал программ CRM позволяет упростить процесс и автоматизировать отчетность. Но если нет контроля звонков менеджеров, у руководителя компании нет и реального представления о том, как ответственный сотрудник выполняет свои должностные обязанности. Запись входящих звонков при наличии соответствующих возможностей решает проблему, которую не в состоянии решить отчеты и автоматизированная оценка.

Когда нужна запись телефонных разговоров на ПК менеджера:

 

Программа учета звонков, осуществляемых сотрудниками колл-центра по базе клиентов, позволяет оценить эффективность телефонии не с помощью статистики, а через конкретные действия конкретного сотрудника компании.

Постановка речи, владение методиками общения с холодными и горячими клиентами, выполнение задач, обозначенных руководителем отдела, – эти характеристики работы специалиста можно отслеживать только с помощью записи разговоров. А осуществляется контроль телефонных звонков через подключение специализированного софта.

Рейтинг программ учета, проверки и прослушивания разговоров при работе с лидами в CRM

Выполнить план на день по прозвонам потенциальных заказчиков – несложная цель. Ее легко достичь в разрезе за месяц, год, любой другой период времени, особенно если есть готовый журнал с контактами, куда автоматически подтягиваются все данные. Как правило, у менеджера компании, который в офисе работает с телефонией, даже есть чек-лист на компьютере, чтобы он быстрее принимал решения в той или иной ситуации.

Система учета рабочего времени сотрудников с интегрированной системой записи телефонных разговоров в базу позволяет оценить качество общения, дать оценку реакции потенциального заказчика на те или иные слова оператора. В действительности, фиксирование звонков менеджеров компании по клиентской базе дает руководителю во многом уникальный инструмент для агрегирования данных, поступающих из отдела офиса, в котором работа менеджеров направлена на реализацию продукта с помощью телефонии.

 

Простые звонки

Бесплатный период: есть, 14 дней, полный функционал

Конкурентное преимущество: можно организовать центр приема звонков клиентов без специального оборудования и софта.
Основные возможности: интеграция с CRM, запись всех телефонных звонков, поступающих менеджерам, формирование архива аудиофайлов с комментариями, функционал автонабора по базе. Система обработки текущих телефонных разговров может хранить аудиозаписи на удаленном сервере и отображать их в специальном приложении для звонков на Андроид (Android). Подключение к АТС элементарное, интерфейс дружелюбный. Аналитика всецело на руководителе или другом компетентном специалисте.

Bitcop

Бесплатный период: 14 дней без ограничений

Конкурентное преимущество: комплексное приложение с функцией контроля входящих звонков ваших менеджеров, комплексный контроль и учет рабочего времени, множественными интеграциями и другими системами.
Основные возможности продукта: это не просто система типа «прослушка» для контроля качества работы менеджеров. Софт фиксирует все вызовы с телефонов, мессенджеров (включая конференции), других каналов. Формирует для руководителя два отчета – в одном все данные по диалогам сотрудников, в другом – таймлайн (структура дня) с привязкой диалогов ко времени. Возможна интеграция (полное совмещение работы) с вики-системами, бизнес-софтом, календарями и т.д.

Mango Office

Free версия: есть, бессрочная, ограниченный функционал

Особенности: система записи телефонных разговоров сотрудников в офисах, расширенная десятками опций со специализированным функционалом.
Функционал: помимо виртуальной АТС система предоставляет контакт-центр в облаке, есть прослушивание звонков офисных менеджеров online для проверки речи и компетентности. Встроен модуль для специалистов, управляющих маркетинговыми отделами, интегрирована умная маршрутизация, можно подключать голосовых роботов и чат-ботов. Интеграция с реальными и виртуальными АТС не представляет сложности, гарантируется стабильная работа через интернет (VoIP).

Мои звонки

Бесплатная версия: нет

Особенности приложения: софт для облачной записи телефонных разговоров сотрудников в офисе компании с отображением результатов его работы на устройстве Android.
Основные возможности системы: упрощенный аналог системы Скорозвон, но предназначен для записи звонков не с компьютера, а со смартфона для последующего анализа компетентным пользователем. Мониторинг полностью удаленный, есть простые отчеты со статистикой, формируется база лидов. Для фиксирования звонков по телефону программа в актуальной версии обладает оптимальными показателями.

Скорозвон

Free период: 6 месяцев, не все функции

Конкурентное преимущество: быстрая настройка программы для приема клиентских звонков менеджерами (операторами) в любом месте.
Функциональность программы: приложение с облачным режимом работы, хранит аудиозаписи разговоров сотрудников на удаленном сервере, самостоятельно формирует клиентскую базу, предоставляет верхнеуровневые отчеты с типовыми показателями, есть всевозможные счетчики. Интегрируется с amoCRM и Битрикс24, имеется опция голосового робота и речевое сканирование с поиском по словам. Софт эффективно решает задачу повышения компетентности «продажников».

МТТ

Бесплатная версия: нет

Конкурентное преимущество: готовые модули для подключения к CRM и встроенное решение по распределению ролей среди пользователей для многоуровневого отслеживания результатов.
Основные возможности: контроль системы осуществляется через запись входящих, а также исходящих звонков, когда сотрудник связывается с клиентом. Работа специалиста фиксируется в базе пользователей в форме аудиофайла с отображением статистических данных. Например, сколько бесед по телефону провел офисный менеджер, сколько обращений через интернет или по иным каналам он пропустил, и т.д. Для всех параметров предусмотрены счетчики.

Speech Analytics

Бесплатная версия: нет

Конкурентное преимущество: единственный в своем ценовом сегменте софт для оценки характеристик беседы с интеллектуальным распознаванием речевой активности.
Основные возможности: все входящие и исходящие контакты анализируются по 11 количественным показателям (снятие трубки, перевод беседы на другого оператора, время беседы и т. д.), а также по 24 показателям речевой активности (перебивания собеседника, молчание оператора). Плюс подключается словарь для фиксации претенциозной лексики, неправдивых заявлений, благодарностей, иных специальных оборотов.

Выводы

Программы для записи телефонных разговоров имеют разные возможности. Аудиофайлы могут сохраняться в определенное место (базу) в сети, альтернативный вариант – запись разговоров менеджеров по продажам в облако. Различия проявляются в уровне обработки взаимодействий с холодными и горячими лидами. Для осуществления контроля работы менеджеров компетентный пользователь может отслеживать выполнение поставленных сотрудникам задач посредством визуального интерфейса.

Стоит выбирать актуальные версии софта, который без проблем взаимодействует с VoIP, использует современные возможности интернета. Желательно, чтобы для повышения контроля за менеджерами можно было использовать и другие опции, например, тайм-трекер онлайн, кейлоггер, блокировку нежелательных сайтов, мониторинг ПО, фиксацию переписки в мессенджерах. Если все эти данные о работе сотрудника добавляются к анализу каждого звонка, его работа становится прозрачнее, а оценка и контроль полнее. Тогда начальник получает все инструменты для устранения «узких мест» и повышения результативности целевого сотрудника.

Запись телефонных разговоров на Андроид

Содержание

• 1. Последствия новых правил Google
• 2. Актуальные способы записи звонков на Android
  • 2.1 Приложение Rekk
  • 2.2 Смена прошивки
  • 2.3 Покупка телефона с функцией автоматической записи
  • 2.4 Услуги операторов
• 3. Легальность записи телефонных разговоров

Недавно компания Google изменила правила для разработчиков Android-приложений, размещаемых на их площадке Google Play. Теперь создателям приложений недоступно использование API с целью записи звонков. Это была последняя возможность получать доступ к звонку и скрытно записывать его на телефон владельца. Таким образом, приложения для записи звонков больше не будут доступны для пользователей Android.

Законодательство многих стран разрешает запись звонка, если на это согласен, хотя бы один участник разговора. При этом запрет существует, но только на использование аудиозаписи диалога. Её нельзя никуда выкладывать или применять другим способом. Поэтому не до конца понятно, зачем Google вводит такие ограничения.

Последствия новых правил Google

Компания не сообщала о характере санкций, налагаемых на разработчиков приложений, не соответствующих новым правилам. Но 11 мая 2022 г они вступили в силу, из-за чего множество сервисов оказались недоступны. Уже установленные приложения, автоматически записывающие все телефонные звонки, больше не работают. Даже самая популярная утилита Cube ACR больше недоступна.

Из-за этого перед теми, кому для каких-либо целей нужно записывать телефонные разговоры, встаёт вопрос, как это делать теперь. В этой статье мы рассмотрим основные способы, актуальные на данный момент, разберём преимущества и недостатки каждого метода.

Актуальные способы записи звонков на Android

Приложение Rekk

Сервис Rekk представляет собой многофункциональную утилиту, позволяющую получать записи звонков и работать с ними. Для создания записей рекордер использует необычную, но рабочую технологию. Сохранение записи звонка происходит за счёт создания конференции с сервисным номером. Для этого используется конференц-связь, предоставляемая вашим сотовым оператором.

Такой метод не самый привычный для пользователей подобных приложений, но он имеет неоспоримое преимущество. В этом случае вы точно получите запись звонка. Никакие сторонние приложения и сервисы не смогут прекратить запись, поэтому она гарантировано окажется у вас.

Rekk имеет следующие преимущества:

• Распознавание текста. Приложение автоматически переводит все аудиозаписи в текст, достаточно хорошо распознавая голос. Поэтому вы без проблем сможете читать записи;

• Высокое качество. Сервис не снижает и не портит исходное качество звонка;

• Удобство. Вы можете делать заметки к аудио, искать по номеру/имени/времен, обрезать записи, а также проводить множество других манипуляций. Это сильно облегчает и расширяет работу с записями;

• Встроенный определитель номера и блокировка нежелательных телефонных номеров.

• Backup. Приложение автоматически создаёт резервные копии файлов, чтобы предотвратить их потерю;

• Репутация. Сервис имеет большую популярность у пользователей разных смартфонов и других устройств. Rekk также доступен в AppStore и активно используется владельцами Iphone;

• Для любого телефона. Сервис Rekk работает на всех устройствах с Android выше 5 версии. Наш метод записи всегда будет доступен, поэтому мы не планируем прекращать поддержку ранних версий системы.

Приложение крайне удобное и имеет множество функций. При этом Rekk позволяет обойти новые правила Google, потому что не использует API. Таким образом, это единственное приложение, через которое можно быстро и легально записывать звонки.

Чтобы приложение работало корректно, вам потребуется подключить конференц-связь у своего оператора.

Есть сразу два способа записи:

• С приложением. Скачивайте приложение, оплачивайте его функционал, и оно будет автоматически записывать ваши звонки;

• Без приложения. Вы можете подключить к системе Rekk устройство с любой операционной системой, чтобы записывать разговоры и сохранять их в облачном хранилище.

Download on Google Play

Смена прошивки

В некоторых странах, например во Вьетнаме и Индонезии, запись телефонных разговоров не запрещена или не регламентируется законом. По какой-то причине этих стран не коснулись новые правила Google. Там всё ещё можно скачать приложения для записи звонков из Google Play и свободно пользоваться ими.

Такой способ достаточно сложный, потому что требует поиска соответствующей прошивки и её установки. К тому же, вам придётся сохранить где-то свои файлы, потому что при перепрошивке система полностью очищается. Некоторые вещи, вроде шрифтов, будут непривычны, да и приложения могут воспринимать вас некорректно. Также были случаи, когда после обновления перепрошитого телефона, он превращался в кирпич, отказываясь работать.

Покупка телефона с функцией автоматической записи

Некоторые телефоны имеют встроенную функцию, позволяющую автоматически записывать и сохранять аудиозаписи телефонных разговоров. Купив такой телефон, вы получите необходимый функционал «из коробки». Обычно такая утилита не позволяет сортировать записи или другим способом работать с ними. К тому же, решение достаточно радикальное, потому что требует денежных затрат и смены телефона.

Так как законодательство многих стран требует уведомлять собеседника, если разговор записывается, телефон автоматически будет воспроизводить аудиосообщение с предупреждением. Таким образом, не получится вести запись скрытно, что важно, когда имеешь дело с телефонными мошенниками или в других подобных случаях.

Некоторые китайские смартфоны не имеют таких ограничений и без проблем записывают телефонный звонок, не воспроизводя никаких предупреждений.

Телефонов с такой функцией достаточно много. Например, вы можете выбрать одну из следующих моделей:

• Nokia 130 Dual SIM;

• Philips E218;

• Xiaomi Redmi 8A;

• Huawei GT3;

• Lenovo K5 Pro;

• Asus 5s Pro;

• Samsung S 20FE;

• LG M700An;

• Alcatel 1S.

Все эти бренды имеют несколько моделей с функцией автоматической записи звонков, поэтому выбор у вас достаточно большой.

Услуги операторов

Многие операторы предоставляют услугу записи телефонного звонка. Подробнее вы можете узнать, обратившись к своему мобильному оператору, но большинство популярных компаний имеют подобную услугу. Например, Тинькоф.Мобайл предоставляет эту услугу рядовым пользователям. При этом можно слушать запись прямо через приложение. Доступна даже текстовая расшифровка аудио.

У компании Теле2 есть корпоративный тариф, предоставляющий возможность записывать звонки. Проблема заключается в том, что за каждый номер придётся доплачивать, а стоимость самой услуги достаточно высокая. При этом приложения у них нет и слушать приходится через сайт. У других сотовых операторов также есть подобные корпоративные тарифы. Подробнее можете узнать, позвонив на горячую линию.

Легальность записи телефонных разговоров

Мы описали основные способы записи телефонных звонков, доступных в мае 2022 года. Выбирайте, каким пользоваться, исходя из своих нужд и возможностей. Далее хотелось бы остановиться на законности таких записей в Российской Федерации.

Ещё в 2017 году Верховный суд России установил требования, необходимые для скрытной аудиозаписи телефонных звонков:

• Запись должна инициироваться не посторонним лицом, а непосредственным участником диалога;

• Телефонный разговор относится к бытовым или деловым отношениям, которые являются предметом разбирательства в суде.

В остальных случаях записывать можно в тех случаях, если оба человека знают о ведении записи. Это означает, что в разговоре должно прозвучать предупреждение. Разрешается распространять или каким-либо ещё способом использовать запись только, если все участники разговора на это согласны.

После нововведений мая 2022 года записывать звонки стало сложнее, потому что многие приложения больше не функционируют. Но это не значит, что запись невозможна. Мы представили вам основные способы как записать телефонный звонок, а также рассказали о законности такого действия. Выбирайте оптимальный для вас способ и пользуйтесь всеми его преимуществами.

Download on Google Play

‎App Store: Запись телефонных звонков PRO — ACR

Скриншоты iPhone

Описание

«Приложение для записи звонков и голоса» позволяет записывать входящие и исходящие телефонные звонки и голос вашего iPhone.

Эта версия предоставит вам полнофункциональную пробную версию для записи и воспроизведения любого количества вызовов. Во время пробного периода с вас не будет взиматься плата, а только в конце пробного периода.

ПОДПИСАТЬСЯ, ЧТОБЫ РАЗБЛОКИРОВАТЬ МНОЖЕСТВО ВОЗМОЖНОСТЕЙ

√ Записывайте входящие звонки
√ Записывайте исходящие звонки
√ Без ограничения времени записи звонка
√ Без ограничений на количество записей
√ Неограниченное количество записей
√ Доступ к законам о записи звонков

√ Красивый и простой в использовании интерфейс 
√ Push-уведомления перенаправят вас к записи
√ Новые функции добавляются постоянно 
√ Одна низкая стоимость подписки
√ Запись экрана

ПРИМЕЧАНИЕ. Приложение «Call & Voice Recorder» требует, чтобы ваш оператор поддерживал трехстороннюю связь вызов. SimpleTalk и h3o Wireless НЕ предлагают это в США.

Информация о подписке:
— Обратите внимание, что «Приложение Call & Voice Recorder» не может записывать новые вызовы без активной подписки
— Цена указана в долларах США, цена может отличаться в других странах, кроме США, и может быть изменена уведомление.
— Если пакет имеет пробный период, то подписка начинается через N дней (точное количество будет указано в описании покупки) бесплатного пробного периода и будет автоматически продлеваться каждый период (месяц или неделю), если нет, то оплата будет выплачиваться немедленно.

— Цены на подписки зависят от выбранного вами пакета и будут отображаться на экране оплаты.
— оплата будет снята с учетной записи iTunes при подтверждении покупки.
— Подписка продлевается автоматически, если автоматическое продление не будет отключено по крайней мере за 24 часа до окончания текущего периода.
— С аккаунта будет взиматься плата за продление в течение 24 часов до окончания текущего периода.
— Вы можете отменить подписку по этому адресу: https://support.apple.com/en-us/HT202039.
— Пользователь может управлять подпиской, а автоматическое продление можно отключить, перейдя в настройки учетной записи пользователя после покупки.

Страницы:
— Политика конфиденциальности: http://callrecorderpro.app/privacy_policy?color=black
— Срок использования: http://callrecorderpro.app/terms?color=black
— О сайте: http://callrecorderpro .app/about?color=black

Поддержка:

Пишите обо всем на [email protected]

000Z» aria-label=»January 13, 2023″> 13 января 2023 г.

Версия 3.36

Что нового:
— Обновлен алгоритм оповещения о начале записи разговора
— Исправление мелких ошибок

Рейтинги и обзоры

21,7 тыс. оценок

Отличное приложение

Выглядит потрясающе и, надеюсь, работает хорошо. Соблазн купить одноразовый доступ, но я не могу получить доступ даже к одному бесплатному телефонному звонку, чтобы увидеть, насколько хорошо работает функция записи. Я не хочу тратить 80 долларов на что-то, что может не работать, и у меня нет бесплатной пробной версии.

Это приложение является мошенничеством

Я заплатил 80 долларов за профессиональную версию, ожидая, что с такой ценой будет отказоустойчивый телефонный рекордер. Два с лишним часа интервью, которые я провел, очевидно, никогда не записывались и не сохранялись в приложении. В начале обоих звонков было написано «этот звонок записывается», но как только звонки закончились, и я пошел, чтобы проверить страницу записей приложения, ни один из них не был сохранен. Спасли только очень короткие (менее минуты) тестовые звонки, которые я делал перед собеседованиями. Я отправил несколько электронных писем через страницу «Свяжитесь с нами» в приложении, но так и не получил ответа и не смог найти веб-сайт или номер телефона, чтобы связаться с кем-либо. Я подал заявку в компанию, выпустившую мою кредитную карту, чтобы мне вернули 80 долларов. Избавьте себя от хлопот и сделайте больше исследований! Это не надежное приложение.

Пожизненное предложение заманчиво

Предложение «Пожизненно» довольно заманчиво, но меня беспокоит тот факт, что в приложении очень мало информации или руководств. Так почему, черт возьми, нет поясняющего видео или какого-то образца видео, чтобы показать потенциальным клиентам, как работает это приложение? Почему вы так слепо пытаетесь заставить людей подписаться на приложение? Я бы с удовольствием оценил его лучше, если бы не эта неуклюжая регистрация. Вашему руководству следует срочно разобраться в этом вопросе. Теперь я все еще здесь в раздумьях, потому что я не хочу регистрироваться, не оценив приложение должным образом. Это совсем не круто.

Подписки

Запись звонков PRO

Премиум-доступ для записи всех ваших телефонных звонков

Бесплатная пробная версия

Разработчик, ROCKETAPPS LLC, указал, что политика конфиденциальности приложения может включать обработку данных, как описано ниже. Для получения дополнительной информации см. политику конфиденциальности разработчика.

Данные, используемые для отслеживания вас

Следующие данные могут использоваться для отслеживания вас в приложениях и на веб-сайтах, принадлежащих другим компаниям:

• Покупки
• Идентификаторы

Данные, не связанные с вами

Могут быть собраны следующие данные, но они не связаны с вашей личностью:

• Покупки
• Пользовательский контент
• Идентификаторы
• Данные об использовании
• Диагностика

Методы обеспечения конфиденциальности могут различаться, например, в зависимости от используемых вами функций или вашего возраста. Узнать больше 

Информация

Продавец

ООО «РОКЕТАППС»

Размер

282,4 МБ

Категория

Утилиты

Возрастной рейтинг

17+ Неограниченный доступ в Интернет

Авторское право

© ООО «РОКЕТАППС»

Цена

Бесплатно

• Тех. поддержка
• политика конфиденциальности

Еще от этого разработчика

Вам также может понравиться

Понимание воздействия на безопасность уязвимости приложения для записи вызовов iPhone

Новости об уязвимом приложении для записи вызовов для iPhone распространились в начале марта, когда TechCrunch опубликовал статью об этом событии. «Call Recorder» или «Acr call recorder», как он указан в Apple App Store, использовал небезопасно разработанный веб-API для извлечения записей вызовов из облачного хранилища AWS S3. Хотя на первый взгляд это обсуждение уязвимости может показаться не таким гламурным, как громкая утечка информации о крупном бренде, оно предлагает ряд ценных уроков. Это событие также имеет сходство с другими громкими инцидентами и нарушениями. Большинство проблем напрямую связаны с OWASP API Security Top 10 — списком, в котором отражены наиболее распространенные ошибки API. Наше обсуждение сосредоточено на шагах, которые вы можете предпринять для повышения безопасности API, и мы также включаем некоторые интересные аспекты мобильной безопасности и облачной безопасности.

К счастью, исследователь безопасности, обнаруживший проблемы, Ананд Пракаш из Pingsafe AI и Зак Уиттакер из TechCrunch, ответственно раскрыли уязвимости создателю приложения, прежде чем публично раскрыть свои выводы. Неясно, обнаруживали ли какие-либо злоумышленники эти проблемы до раскрытия информации и получали ли они доступ к записям, используя уязвимости. Разработчик и издатель приложения, Арун Наир, на момент написания этой статьи не делал публичных заявлений.

Подробное рассмотрение вопросов безопасности Call Recorder

Ананд начал свое исследование с обратного проектирования мобильного бинарного файла iOS, пакета IPA. Методы и инструменты для этого легко доступны в Интернете. OWASP поддерживает один такой источник на странице iOS Tampering and Reverse Engineering. Мобильный двоичный код не является «черным ящиком», и специалисты-практики не должны считать мобильный код защищенным по умолчанию. Злоумышленники могут легко реконструировать мобильный код, чтобы понять внутреннюю бизнес-логику приложения, получить ключи API и украсть интеллектуальную собственность. Исследователи безопасности также используют те же методы обратного проектирования и отладки для упреждающего поиска проблем.

Еще одно сходство между злоумышленниками и исследователями заключается в использовании перехватывающих прокси-инструментов, таких как Charles Web Debugging Proxy, Telerik Fiddler, OWASP Zed Attack proxy и Portswigger Burp Suite. Эти инструменты невероятно полезны для раскрытия коммуникаций приложений, а также для управления ими. Как и многие вещи в жизни, их можно использовать во благо или во зло. Сам инструмент не может создать проблему, но люди со злым умыслом, запускающие его, могут.

В приложении «Запись звонков» были обнаружены следующие проблемы: 

• Broken authentication
• Broken object level authorization (BOLA)
• Lack of encrypted transport
• Excessive data exposure
• Lack of pseudonymous identifiers
• Unsecured cloud storage
  

Broken authentication

The security researcher trapped a request исходящие из мобильного приложения, которое извлекает местоположения записей звонков. В запросе POST мы видим, что конечная точка не применяла аутентификацию, поскольку в заголовках HTTP отсутствуют какие-либо файлы cookie аутентификации, файлы cookie сеанса, маркер носителя и т. д. Присутствующие заголовки, выделенные ниже, включают только основы, такие как содержимое: тип, пользовательский агент и кодировка.

Дополнительные технические сведения об этом типе проблемы можно найти в блоге Salt Security по адресу API2:2019 Broken User Authentication.

Сломанная авторизация на уровне объекта

BOLA — наиболее распространенная угроза безопасности API — снова поднимает голову здесь. Исследователь легко смог изменить значение «UserID» на значение другого пользователя приложения. Система вернула местоположение записей для этого пользователя, но не смогла применить авторизацию. Эту конечную точку можно было легко перечислить, поскольку это значение было стандартным форматом телефонного номера.

Дополнительные технические сведения об этом типе проблемы можно найти в блоге Salt Security по адресу API1:2019 Broken Object Level Authorization.

Отсутствие зашифрованного транспорта

Запросы на получение записей не использовали зашифрованный транспорт. Мы ожидаем увидеть трафик, проходящий через 443 для HTTPS. В этом случае приложение использовало HTTP через порт 80, как показано ниже. Использование HTTP, а не HTTPS, значительно упрощает перехват и манипулирование злоумышленниками, поскольку трафик отправляется в незашифрованном виде.

Чрезмерное раскрытие данных

Ответ HTTP от конечной точки API содержал URL-адрес записей в корзине AWS S3 в значении «s3_key», как показано ниже. Злоумышленник затем может использовать эту информацию для извлечения записи непосредственно из AWS S3.

Остальная часть полезной нагрузки JSON также включала метаданные о телефонных номерах вызывающего и вызываемого абонентов, содержащиеся в значениях «номер_звонящего» и «вызываемый», как показано ниже. Телефонные номера — это форма PII и регулируемый тип данных. В зависимости от нормативного воздействия эти типы конфиденциальных данных должны быть псевдонимизированы, замаскированы, токенизированы, зашифрованы или вообще не использованы. Организации должны обеспечить, чтобы элементы управления соответствовали архитектуре приложения, и защищать конфиденциальные данные при передаче, использовании и хранении по мере необходимости.

Дополнительные технические сведения об этом типе проблемы можно найти в блоге Salt Security по адресу API3:2019 Excessive Data Excessure.

Отсутствие псевдонимных идентификаторов

«Идентификатор пользователя» был прямо равен номеру телефона данного пользователя, что является формой PII. Идентификаторы записей и объектов должны быть уникальными, непредсказуемыми и непоследовательными. Также не должно быть возможности установить личность человека. Эти телефонные номера легко могли быть пропущены через обратный поиск телефонных номеров, чтобы продвинуться дальше в цепочке атаки и, возможно, с помощью социальной инженерии или кого-то шантажировать.

Незащищенное облачное хранилище

Корзины S3 также могут быть заблокированы или не заблокированы. Этот тип надзора распространен, включая случаи с публичными репозиториями git. Предположительно, сегменты S3 не были ограничены, поскольку Зак Уиттакер из TechCrunch смог увидеть, что сегмент, используемый приложением, содержит 130 000 записей и более 300 ГБ данных.

Основные рекомендации по предотвращению ошибок в записи вызовов iPhone

Рекомендации по устранению этих проблем безопасности в значительной степени пересекаются с предыдущим блогом, посвященным отдельному инциденту безопасности, взлому данных Parler. Платформа защиты API Salt Security создана для обнаружения и блокировки злоумышленников, которые стремятся злоупотреблять этими типами уязвимостей и недостатков приложений.

Рекомендации, относящиеся к этому событию с приложением «Запись звонков для iPhone», включают:

‍ 1. Защитите код своего мобильного приложения: Всегда исходите из того, что ваш мобильный код будет переработан. Никогда не храните там интеллектуальную собственность или материалы для аутентификации. Злоумышленники часто начинают свою разведку API и атаки с обратной разработки клиентского кода, будь то JavaScript веб-браузера или собственный мобильный код. Мы видим, что исследователь безопасности начал свою работу здесь, чтобы понять логику приложения и то, как оно использует AWS S3 для хранения записей. ‍

2 – Реализовать как аутентификацию, так и авторизацию: Это может показаться простым – и я могу даже прозвучать как заезженная пластинка, повторяя это – но необходимо учитывать эти два основных принципа. Вы также должны рассмотреть все «звенья в цепочке» и рассмотреть всю систему от начала до конца. Здесь мы увидели, что аутентификация не присутствовала в вызовах API, сделанных мобильным приложением, и доступ к корзинам AWS S3, где хранились записи вызовов, также не контролировался. ‍

3 – Избегайте предсказуемых идентификаторов и последовательных идентификаторов: Всегда используйте уникальные, непредсказуемые идентификаторы. Эта тактика помогает снизить риск атак перечислением. В этом случае используемые идентификаторы напрямую влияют на конфиденциальность, поскольку номер телефона является формой PII. Для пользователей должны были быть созданы новые идентификаторы, а не номер телефона в качестве уникального идентификатора. ‍

4 – Защита данных, обслуживаемых API, и защита API, которые обслуживают пользовательские данные: Всегда используйте зашифрованные транспорты для трафика приложений, которые обмениваются конфиденциальными данными, такими как номера телефонов или другие регулируемые типы данных. Возвращайте только те данные, которые необходимы для работы приложения, и всегда учитывайте конфиденциальность передаваемых данных. Предположим, что кто-то может перехватить трафик API, чтобы «увидеть» конфиденциальные данные, которые вы передаете, и не думайте, что достаточно скрыть или замаскировать такие данные в пользовательском интерфейсе. Сетевое позиционирование того места, где происходит перехват трафика или «человек посередине», в значительной степени не имеет значения, поскольку злоумышленники могут перехватывать трафик со своих собственных устройств, которые они контролируют. В этом случае трафик API раскрывал PII (номера телефонов отправителя и получателя), а также местоположения S3, где хранились полные записи.

Организационные последствия и выводы

Влияние такого приложения на конфиденциальность должно быть очевидным. Если вы записываете разговоры, чья-то конфиденциальность всегда будет нарушена. Однако в этом случае было обнаружено, что приложение делает несколько вещей неправильно, что привело к раскрытию записей звонков и пользовательских данных. Этот пример также включает явные регуляторные последствия раскрытия PII в метаданных в трафике.

Я прошу всех читателей дважды подумать, прежде чем загружать и использовать какое-либо приложение из общедоступных магазинов приложений Apple и Google. Все ставки сняты, если вы решите загружать мобильные приложения, поскольку целостность и подлинность бинарного файла мобильного приложения больше не гарантируются. И, конечно же, сомневайтесь в подсказках вашего мобильного устройства, когда приложение запрашивает разрешения на устройстве. Это событие напомнило мне о приложениях-фонариках, которые были в моде до того, как Apple и Google создали такие функции непосредственно в своих мобильных операционных системах. Эти приложения были известны тем, что являлись каналами для многочисленных типов вредоносных программ и злоумышленников, нацеленных на мобильные устройства. В общедоступных магазинах мобильных приложений есть несколько таких приложений для записи звонков — можно с уверенностью сказать, что по крайней мере некоторые из них закодированы или спроектированы без учета требований безопасности и конфиденциальности.

Для признанных поставщиков программного обеспечения или организаций, разрабатывающих приложения, гораздо более распространены документированные процессы безопасности и политики ответственного раскрытия информации. К сожалению, в случае с общедоступными магазинами мобильных приложений и отдельными разработчиками такие процессы безопасности и политики раскрытия информации часто являются редкостью. Apple и Google могут помочь в некоторых случаях, но в конечном итоге вы можете иметь дело с одним человеком, носящим все шляпы. Входной барьер для создания и публикации мобильных приложений невелик, потому что поставщики мобильных ОС хотят расширять свои соответствующие экосистемы мобильных приложений и увеличивать внедрение мобильных устройств.

Признание отсутствия надзора не является ударом по Apple или Google и их магазинам приложений. Поставщики делают все возможное, чтобы сканировать приложения, представляемые на публикацию. Важно помнить о масштабах проблемы, с которой они сталкиваются. Поставщики мобильных ОС ежедневно имеют дело с тысячами представленных приложений, и тщательная проверка всего кода может оказаться проигрышной задачей. Как и во многих организациях, они используют сочетание автоматизированного сканирования с инструментами статического и динамического анализа и, при необходимости, дополняются ручной проверкой собственными экспертами в данной области. Google также расширил этот процесс проверки в конце 2019 года.с формированием Альянса защиты приложений. По сути, Google хеджирует свои ставки, также отправляя приложения поставщикам мобильной безопасности для дополнительного анализа и сканирования перед публикацией. Поставщики мобильных средств защиты включают ESET, Lookout и Zimperium.

Этот случай включает в себя важный урок о проверке безопасного проекта перед развертыванием и тестировании безопасности, или «смещении влево», как это часто называют в наши дни в стратегиях DevSecOps. Мы знаем, что эти подходы и инструменты тестирования могут помочь избавиться от распространенных ошибок и уязвимостей. К сожалению, многие сканеры ограничиваются обнаружением условий эксплуатации, а не более широкого спектра проблем приложений, включая недостатки авторизации, проблемы, влияющие на конфиденциальность, и недостатки бизнес-логики. Эффективность также снижается при автоматическом сканировании в конвейерах сборки, поскольку сканирование часто необходимо оптимизировать для своевременного завершения. Apple и Google сталкиваются с необходимостью уравновешивания с «достаточно хорошим» сканированием безопасности, чтобы пользователи соответствующей мобильной ОС чувствовали себя в безопасности и удовлетворяли разработчиков, которые хотят быстро опубликовать свои приложения в общедоступных магазинах приложений.

Зрелые организации признают, что автоматическое сканирование всего кода перед развертыванием с полным покрытием тестами и ожидание обнаружения всех типов проблем нереально. Эти организации будут регулярно дополняться внутренней ручной проверкой, оценкой приложений из внешних источников, программами вознаграждения за обнаружение ошибок и, что более важно, анализом поведения во время выполнения. Это аналогичная непрекращающаяся битва за Apple и Google. Мы в Salt Security подчеркиваем именно этот момент для практиков и клиентов. Да, сосредоточьтесь на том, чтобы сместить часть вашего внимания к безопасности на этапы проектирования и разработки, но не отказывайтесь от безопасности во время выполнения. Поведенческий анализ и средства защиты во время выполнения, вероятно, являются вашей первой и последней линией защиты от широкого спектра атак и нарушений конфиденциальности, с которыми сталкивается ваша организация.

Источники:

https://www.pingsafe.ai/blog/how-we-could-have-listened-to-anyones-call-recordings

https://techcrunch.com/2021/03/09 /iphone-thousands-calls-exposed/

https://gizmodo.com/security-flaw-in-iphone-app-could-have-let-anyone-liste-1846439834

https://www.