Une vulnérabilité dans la fonctionnalité de filtrage des appels de Verizon permettait aux clients d’accéder aux journaux des appels entrants pour un autre numéro Verizon Wireless via une demande d’API non sécurisée.
La faille a été découverte par le chercheur en sécurité Evan Connelly le 22 février 2025 et a été corrigée par Verizon au cours du mois suivant. Cependant, la période totale d’exposition est inconnue.
L’application de filtrage d’appels de Verizon est un utilitaire gratuit qui offre aux utilisateurs la détection du spam et le blocage automatique des appels. Une version payante (Plus) ajoute une recherche de spam et un compteur de risque, la possibilité d’appliquer des blocs par type d’appelant et de recevoir l’identification de l’appelant sur des numéros inconnus.
La version gratuite de l’application est préinstallée et activée par défaut sur les appareils Android et iOS éligibles achetés directement auprès de Verizon, et serait utilisée sur des millions d’appareils.
Connelly a déclaré à Breachtrace qu’il n’avait testé que l’application iOS. Cependant, il a noté que l’application Android était également très probablement affectée par le même bogue, car le problème concernait l’API de la fonctionnalité plutôt que les applications elles-mêmes.
Exposer les historiques d’appels
Lors de l’utilisation de l’application de filtrage d’appels, Connelly a découvert que l’application se connecterait à un point de terminaison d’API, https://clr-aqx.cequintvzwecid.com/clr/callLogRetrieval, pour récupérer l’historique des appels entrants de l’utilisateur connecté et l’afficher dans l’application.
« Ce point de terminaison nécessite un JWT (JSON Web Token) dans l’en-tête d’autorisation à l’aide du schéma de support et utilise un en-tête X-Ceq-MDN pour spécifier un numéro de téléphone portable pour lequel récupérer les journaux d’historique des appels », explique Connelly.
« Un JWT comporte trois parties: l’en-tête, la charge utile et la signature. Il est souvent utilisé pour l’authentification et l’autorisation dans les applications Web. »
Connelly dit que la charge utile comprend diverses données, y compris le numéro de téléphone de l’utilisateur connecté qui fait la demande à l’API.
Cependant, le chercheur a découvert que le numéro de téléphone dans la charge utile JWT de l’utilisateur connecté n’était pas vérifié par rapport au numéro de téléphone dont les journaux d’appels entrants étaient demandés.
Par conséquent, tout utilisateur peut envoyer des demandes en utilisant son propre jeton JWT valide, mais remplacer la valeur d’en-tête X-Ceq-MDN par un autre téléphone Verizon pour récupérer l’historique de ses appels entrants.
Cette faille est particulièrement sensible pour les cibles de grande valeur comme les politiciens, les journalistes et les agents des forces de l’ordre, car leurs sources, contacts et routines quotidiennes pourraient être cartographiés.
« Les métadonnées d’appel peuvent sembler inoffensives, mais entre de mauvaises mains, elles deviennent un puissant outil de surveillance. Avec un accès illimité à l’historique des appels d’un autre utilisateur, un attaquant pourrait reconstruire les routines quotidiennes, identifier les contacts fréquents et déduire des relations personnelles », a expliqué Connelly.
On ne sait pas si la limitation du débit était en place pour empêcher le grattage de masse pour des millions d’abonnés, mais Connolly a déclaré à Breachtrace qu’il ne voyait aucune indication d’un tel mécanisme ou d’une passerelle API qui implémente généralement une fonctionnalité de sécurité comme celle-ci.
Mauvaises pratiques de sécurité
Bien que le chercheur félicite Verizon pour sa réponse rapide à sa divulgation, il a souligné les pratiques inquiétantes que l’entreprise de télécommunications a suivies dans le traitement des données d’appel des abonnés.
Le point de terminaison d’API vulnérable utilisé par Call Filter semble être hébergé sur un serveur appartenant à une société de technologie de télécommunications distincte appelée Cequint, spécialisée dans les services d’identification de l’appelant.
Le propre site Web de Cequint est hors ligne et les informations publiques à leur sujet sont limitées, ce qui soulève des inquiétudes quant à la manière dont les données d’appel sensibles de Verizon sont traitées.
Breachtrace a contacté Verizon pour lui demander quand la faille avait été introduite, si elle avait été exploitée dans le passé et si elle avait eu un impact sur tous les utilisateurs du filtre d’appels mais n’avait pas reçu de réponse pour le moment.