Una vulnerabilidad en la función Call Filter de Verizon permitió que cualquier usuario pudiera acceder al historial de llamadas entrantes de otro número Verizon Wireless a través de una solicitud API sin la debida verificación.
Vulnerabilidad descubierta por investigador de seguridad
El fallo fue descubierto el 22 de febrero de 2025 por Evan Connelly y fue solucionado por Verizon durante marzo. No se sabe exactamente cuánto tiempo estuvo activa la falla.
La app Call Filter está preinstalada por defecto en millones de dispositivos Android e iOS vendidos por Verizon y ofrece funciones de bloqueo y detección de spam.
Aunque Connelly probó solo en iOS, afirmó que la app en Android probablemente también estaba afectada, ya que el error estaba en el backend de la API.
¿Cómo funcionaba el fallo: acceso a historiales de terceros? ️
La app se conecta al endpoint:
https://clr-aqx.cequintvzwecid.com/clr/callLogRetrieval
Usa un JWT (JSON Web Token) para autorizar la solicitud y un encabezado X-Ceq-MDN para especificar el número de teléfono.
El problema: el número dentro del JWT no se verificaba contra el número solicitado.
Resultado: cualquier usuario con un JWT válido podía modificar el encabezado y consultar el historial de otro número Verizon.
Esto significa que incluso sin privilegios especiales, se podía consultar la información sensible de políticos, periodistas, policías y otros objetivos delicados.
Impacto y preocupaciones de privacidad
Con acceso a estos registros, un atacante podría:
- Reconstruir rutinas diarias
- Identificar contactos frecuentes
- Inferir relaciones personales
“Los metadatos de llamadas parecen inofensivos, pero pueden ser una herramienta de vigilancia poderosa en las manos equivocadas,” dijo Connelly.
No está claro si Verizon implementó limitaciones de tasa (rate limiting) para evitar abusos masivos del endpoint.
Prácticas de seguridad cuestionables en Verizon
El endpoint vulnerable está alojado por Cequint, una empresa externa especializada en servicios de identificación de llamadas. Su sitio web está inactivo, y hay muy poca información pública sobre ellos.
Esto genera dudas sobre cómo Verizon maneja los datos sensibles de sus usuarios y con quién los comparte.