pemoyr
New member
Truecaller – это приложение, которое позволяет блокировать нежелательные входящие вызовы, например спам-звонки. Приложение доступно для скачивания во всем мире, однако наиболее популярно в Индии. В сумме приложение было скачено свыше 500 миллионов раз и насчитывает 150 миллионов активных пользователей за день.
Исследователь безопасности Эраз Ахмед (англ. Ehraz Ahmed) уязвимость в этом популярном приложении для смартфонов. Её использование даёт возможность раскрыть информацию пользователей, а также информацию об устройстве и геолокации.
Он также разместил в интернете PoC-код, показывающий, что вместо картинки профиля может быть поставлена «вредоносная ссылка». Эта ссылка может быть использована мошенником для получения IP-адресов других людей, у которых установлена Truecaller и проведения атак, среди которых брутфорс и DDoS.
В процессе исследования уязвимости у Ахмеда получилось завладеть информацией о пользователе, например IP-адрес и User-Agent. Атака проводится в фоновом режиме, поэтому пользователь даже о ней не знает.
Создатели приложения Truecaller подтвердили существование этой проблемы и оперативно сделали исправление, устраняющее уязвимость. Пользователям они советуют убедиться, что их приложение обновлено до самой свежей версии.
Ранее в приложении были найдены уязвимости, которые эксплуатировались на практике. Так, летом этого года из-за бага в новой на тот момент версии, приложение позволяло регистрировать пользователей в платном сервисе без их ведома. Каких-либо разрешений на эти действия у пользователей приложение не спрашивало, а только присылало им текстовые оповещения о прошедшей регистрации.
Исследователь безопасности Эраз Ахмед (англ. Ehraz Ahmed) уязвимость в этом популярном приложении для смартфонов. Её использование даёт возможность раскрыть информацию пользователей, а также информацию об устройстве и геолокации.
Он также разместил в интернете PoC-код, показывающий, что вместо картинки профиля может быть поставлена «вредоносная ссылка». Эта ссылка может быть использована мошенником для получения IP-адресов других людей, у которых установлена Truecaller и проведения атак, среди которых брутфорс и DDoS.
В процессе исследования уязвимости у Ахмеда получилось завладеть информацией о пользователе, например IP-адрес и User-Agent. Атака проводится в фоновом режиме, поэтому пользователь даже о ней не знает.
Создатели приложения Truecaller подтвердили существование этой проблемы и оперативно сделали исправление, устраняющее уязвимость. Пользователям они советуют убедиться, что их приложение обновлено до самой свежей версии.
Ранее в приложении были найдены уязвимости, которые эксплуатировались на практике. Так, летом этого года из-за бага в новой на тот момент версии, приложение позволяло регистрировать пользователей в платном сервисе без их ведома. Каких-либо разрешений на эти действия у пользователей приложение не спрашивало, а только присылало им текстовые оповещения о прошедшей регистрации.