Uno de los fallos detectados en la herramienta de grabación, usada algunos cuerpos de policía podría dejar que los hackers roben las grabaciones de audio de manera remota, por lo que la consultora recomienda no usar el software hasta que esté arreglado.
Las vulnerabilidades encontradas en el software Nice Recording eXpress son al menos cinco, aunque algunas de ellas ya han sido parcheadas. El software ha sido vendido a call centers y agencias de seguridad.
Si las empresas no pueden dejar de usarlo hasta que se arreglen los fallos, la consultora de seguridad recomienda actualizar a la última versión 6.5 PL7. El producto también es conocido como Cybertech xPress and Cybertech Myracle, ya que en su momento Nice Systems compró Cybertech, por lo que no se descarta que ambos productos pudieran estar también afectados.
Uno de los peores fallos podría permitir a los atacantes no autorizados el acceso a un listado de cuentas de usuario que incluirían los nombres de la gente monitorizada, lo que sería particularmente perjudicial para los servicios de seguimiento legal, ya que su actividad se supone que debe ser secreta.
También hay varios errores de inyección SQL, que podrían permitir a los hackers el acceso completo a la base de datos MySQL de la grabación, lo que les podría permitir a reemplazar las grabaciones con otras alteradas. Desde MySQL se ejecuta con los permisos de acceso de más alto nivel, un hacker también podría montar un ataque separado en el sistema operativo del equipo, ha dicho la consultora de seguridad.
http://www.ciospain.es/aapp/detectados-fallos-graves-en-un-software-de-grabacion-de-llamadas-usado-por-cuerpos-de-seguridad