iOS- и Android-версия Truecaller ставит под угрозу 150 млн пользователей

iOS- и Android-версия Truecaller ставит под угрозу 150 млн пользователей

iOS- и Android-версия Truecaller ставит под угрозу 150 млн пользователей

Популярное мобильное приложение Truecaller, предназначенное для блокировки входящих спамерских звонков, содержало критическую уязвимость, раскрывающую данные о местонахождении пользователей. Поскольку брешь затрагивала как iOS, так и Android-версию программы, под угрозой находились около 150 миллионов человек.

Проблему безопасности обнаружил индийский исследователь Эхраз Ахмед, незамедлительно разработавший PoC-код. Специалист продемонстрировал, как можно разместить вредоносную ссылку вместо картинки профиля.

В результате любой пользователь, кликнувший на профиль, запускал атаку, сам об этом не подозревая.

Truecaller разработали шведские программисты, чтобы избавить людей от навязчивых звонков роботов, спамеров и просто подозрительных лиц. Данное приложение используется по всему миру, однако наибольшую популярность оно снискало в Индии.

В общей сложности Truecaller скачали 500 миллионов раз, также компания насчитывает 150 миллионов активных пользователей ежедневно.

Выявивший уязвимость специалист ждал, пока разработчики выпустят патч, только после этого он объяснил, как может отработать брешь в атаке:

«Уязвимость позволяет злоумышленнику внедрить вредоносную ссылку в качестве URL профиля. Пользователь, просматривающий профиль атакующего, автоматически становился жертвой».

«В процессе атаки преступник мог вычислить IP-адрес, User-Agent и другую информацию цели. Атакуемая сторона при этом ничего бы не заметила, поскольку вредоносная активность происходит в фоновом режиме».

Ахмед опубликовал видео, в котором разъясняется суть проблемы безопасности:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Опасная уязвимость в PHPWord: атакующий мог читать файлы на сервере

В популярной библиотеке PHPWord, которую используют для работы с текстовыми документами в PHP, обнаружили уязвимость. Проблема оказалась не в ней напрямую, а в её зависимой библиотеке Math, которая отвечает за обработку математических формул.

Недоработка, которую обнаружил Александр Журнаков из Positive Technologies, могла позволить злоумышленнику получить доступ к локальным файлам на сервере или отправлять запросы от его имени.

Всё зависело от того, как именно библиотека используется в приложении. Например, если через веб-интерфейс был доступ к загрузке ODF-файлов, атакующий мог бы загрузить вредоносный документ и — при определённых условиях — считать содержимое конфигурационных файлов. А там и до административного доступа недалеко.

Уязвимость получила идентификатор CVE-2025-48882 и оценку 8,7 балла по шкале CVSS 4.0 — это высокий уровень опасности. Проблема затрагивала Math версии 0.2.0 и, соответственно, PHPWord начиная с версии 1.2.0-beta.1.

Для защиты достаточно обновить Math до версии 0.3.0 и поставить PHPWord 1.4.0, где уже обновлён список зависимостей. Если по каким-то причинам это сделать нельзя, есть обходной вариант: запретить загрузку ODF-файлов, если приложение поддерживает их обработку.

По словам экспертов из Positive Technologies, потенциальный ущерб от такой уязвимости полностью зависит от контекста — в каких условиях и для чего используется библиотека. В некоторых случаях всё могло бы ограничиться чтением конфигурации, а в других — дать доступ к внутренней сети через SSRF-атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru