iOS- и Android-версия Truecaller ставит под угрозу 150 млн пользователей

iOS- и Android-версия Truecaller ставит под угрозу 150 млн пользователей

Популярное мобильное приложение Truecaller, предназначенное для блокировки входящих спамерских звонков, содержало критическую уязвимость, раскрывающую данные о местонахождении пользователей. Поскольку брешь затрагивала как iOS, так и Android-версию программы, под угрозой находились около 150 миллионов человек.

Проблему безопасности обнаружил индийский исследователь Эхраз Ахмед, незамедлительно разработавший PoC-код. Специалист продемонстрировал, как можно разместить вредоносную ссылку вместо картинки профиля.

В результате любой пользователь, кликнувший на профиль, запускал атаку, сам об этом не подозревая.

Truecaller разработали шведские программисты, чтобы избавить людей от навязчивых звонков роботов, спамеров и просто подозрительных лиц. Данное приложение используется по всему миру, однако наибольшую популярность оно снискало в Индии.

В общей сложности Truecaller скачали 500 миллионов раз, также компания насчитывает 150 миллионов активных пользователей ежедневно.

Выявивший уязвимость специалист ждал, пока разработчики выпустят патч, только после этого он объяснил, как может отработать брешь в атаке:

«Уязвимость позволяет злоумышленнику внедрить вредоносную ссылку в качестве URL профиля. Пользователь, просматривающий профиль атакующего, автоматически становился жертвой».

«В процессе атаки преступник мог вычислить IP-адрес, User-Agent и другую информацию цели. Атакуемая сторона при этом ничего бы не заметила, поскольку вредоносная активность происходит в фоновом режиме».

Ахмед опубликовал видео, в котором разъясняется суть проблемы безопасности:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Евгений Никулин получил 7 лет и 4 месяца тюрьмы в США

Россиянин Евгений Никулин, которому уже несколько лет пытаются вменить ряд киберпреступлений, наконец получил срок. Приговор Никулину озвучил Федеральный суд города Сан-Франциско, штат Калифорния.

По итогам судебного процесса гражданин России получил 88 месяцев тюремного заключения (семь лет и четыре месяца).

Судья подчеркнул, что при вынесении приговора учитывалось отсутствие правонарушений со стороны Никулина на территории США. Сам подсудимый отказался высказаться в свою защиту.

На примере Евгения Никулина суд хотел продемонстрировать другим иностранным хакерам неотвратимость и суровость наказания за целевые атаки на американские системы. Этот момент судья также отметил при оглашении приговора.

Изначально сторона обвинения добивалась тюремного заключения сроком на 12 лет, защита же настаивала на отсутствии необходимости оставлять Никулина под стражей дольше, чем он уже просидел (приблизительно четыре года).

Напомним, что Евгений Никулин обвинялся в таргетированных атаках на системы американских компаний. С 2016 года он сидел в пражской тюрьме. В 2018-ом Чехия выдала киберпреступника США.

Позже стало известно, что Никулина отправят на психиатрическое обследование, однако в начале 2019 года его признали вменяемым.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru