Уязвимость в Truecaller представляет опасность для 100 млн пользователей

Александр Панасенко 31 Марта 2016 - 16:39

...

Популярный сервис Truecaller позволяет пользователю с легкостью идентифицировать и сортировать любые телефонные номера. Это достаточно удобно, если, например, нужно заблокировать SMS-сообщения от спамеров или отфильтровать что-либо еще.

Приложения Truecaller представлены для платформ Android, iOS, Windows, аппаратов Nokia Series 40, Symbian и BlackBerry. Специалисты Cheetah Mobile выявили, что приложение для Android, установленное более 100 млн раз, содержит опасную уязвимость.

Во время первой установки приложения, Truecaller для Android просит пользователя ввести телефонный номер, адрес email и ряд других личных данных. Предоставленная информация проверяется посредством SMS-сообщения или автоматического звонка, и впоследствии приложение более не отображает экран логина, пишет xakep.ru.

Исследователи Cheetah Mobile обнаружили, что при этом Truecaller использует для аутентификации пользователей номер IMEI (International Mobile Equipment Identity). Злоумышленнику достаточно знать этот номер, чтобы извлечь персональные данные пользователя с серверов приложения. Так как узнать IMEI владельца устройства в наше время – не большая проблема, пользователи Truecaller оказались под угрозой.

Proof-of-concept, созданный экспертами Cheetah Mobile, выявил, что серверы готовы поделиться со злоумышленниками именем аккаунта пользователя, его полом, адресом email, домашним адресом, фотографией профиля и любыми другими данными, которые тот предоставил о себе. Более того, знание IMEI жертвы позволяет атакующим удаленно изменять настройки аккаунта. Можно отключить блокировку спама, добавить в черный список новые контакты или вообще обнулить список блокировок.

Знание IMEI позволит злоумышленникам связать определенный номер телефона и IMEI с реальным человеком. Также атакующие могут просто перебирать случайные номера IMEI, чтобы похитить персональные данные пользователей, к примеру, для будущих фишинговых кампаний.

22 марта 2016 года разработчики Truecaller представили новую версию приложения для Android, в которой проблема была устранена, и теперь рекомендуют всем пользователям обновиться как можно быстрее. Судя по всему, на другие платформы найденная специалистами Cheetah Mobile уязвимость не распространяется, хотя эксперты еще продолжают тестировать версию для iOS.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 27 Ноября 2025 - 19:47

Несанкционированный доступ Взлом сайтов Информационные войны Домашние пользователи Государство

В Польше задержали россиянина по делу о взломе ИТ-систем компаний

В Польше задержали гражданина России по подозрению во взломе ИТ-инфраструктуры польских предприятий. Как сообщает Центральное бюро по борьбе с киберпреступностью, операция прошла 16 ноября в Кракове по поручению окружной прокуратуры.

По данным следствия, мужчина незаконно пересёк польскую границу ещё в 2022 году, а спустя год получил статус беженца.

Правоохранители считают, что он мог получить несанкционированный доступ к системе интернет-магазина, вмешиваться в базы данных и менять их структуру.

Эти действия, по версии прокуратуры, могли поставить под угрозу работу компаний и безопасность клиентов.

Суд отправил задержанного под трёхмесячный арест. Сейчас проверяется его возможная связь с другими кибератаками — как на территории Польши, так и в странах Европейского союза.

Напомним, на днях Мещанский суд Москвы заключил под стражу 21-летнего предпринимателя из Томска Тимура Килина, обвиняемого по статье о госизмене. Как следует из данных судебной картотеки, решение принято по ходатайству следствия, а защита пока не оспорила меру пресечения.

Суд не раскрывает никаких деталей дела: материалы полностью засекречены, как и содержание заседаний, что стандартно для процессов по ст. 275 УК РФ.