iOS- и Android-версия Truecaller ставит под угрозу 150 млн пользователей

Олег Иванов 25 Ноября 2019 - 17:43

Домашние пользователи

Умышленные утечки информации

Кража данных

Патчи

...

iOS- и Android-версия Truecaller ставит под угрозу 150 млн пользователей

Популярное мобильное приложение Truecaller, предназначенное для блокировки входящих спамерских звонков, содержало критическую уязвимость, раскрывающую данные о местонахождении пользователей. Поскольку брешь затрагивала как iOS, так и Android-версию программы, под угрозой находились около 150 миллионов человек.

Проблему безопасности обнаружил индийский исследователь Эхраз Ахмед, незамедлительно разработавший PoC-код. Специалист продемонстрировал, как можно разместить вредоносную ссылку вместо картинки профиля.

В результате любой пользователь, кликнувший на профиль, запускал атаку, сам об этом не подозревая.

Truecaller разработали шведские программисты, чтобы избавить людей от навязчивых звонков роботов, спамеров и просто подозрительных лиц. Данное приложение используется по всему миру, однако наибольшую популярность оно снискало в Индии.

В общей сложности Truecaller скачали 500 миллионов раз, также компания насчитывает 150 миллионов активных пользователей ежедневно.

Выявивший уязвимость специалист ждал, пока разработчики выпустят патч, только после этого он объяснил, как может отработать брешь в атаке:

«Уязвимость позволяет злоумышленнику внедрить вредоносную ссылку в качестве URL профиля. Пользователь, просматривающий профиль атакующего, автоматически становился жертвой».

«В процессе атаки преступник мог вычислить IP-адрес, User-Agent и другую информацию цели. Атакуемая сторона при этом ничего бы не заметила, поскольку вредоносная активность происходит в фоновом режиме».

Ахмед опубликовал видео, в котором разъясняется суть проблемы безопасности:

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 04 Июля 2025 - 12:48

Windows Уязвимости программ Домашние пользователи Microsoft

Срочно обновляем Microsoft Edge — уязвимость в Chromium уже на мушке

Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.

Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.

Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.

В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.

Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.

Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.