Truecaller中可远程利用的漏洞使超过1亿用户面临风险
相关标签: # 研究# 数据# 服务器# 设备# 黑客
Truecaller是一种流行的服务,声称“搜索并识别任何电话号码,”以及帮助用户屏蔽来自垃圾邮件发送者和电话营销者电话号码的来电或短信。
该服务提供了适用于Android、iOS、Windows、Symbian设备和黑莓手机的移动应用程序。
该漏洞由猎豹移动安全研究实验室,影响该应用的Android版本,该应用已被下载超过1亿次。
真正的问题在于Truecaller在其系统中识别用户的方式。
安装时,Truecaller Android应用程序会要求用户输入电话号码、电子邮件地址和其他个人详细信息,并通过电话或短信进行验证。此后,每当用户打开应用程序时,都不会再次显示登录屏幕。
研究人员称,这是因为Truecaller使用设备的IMEI对用户进行身份验证。
Cheetah Mobile在一篇博客文章中写道:“任何获得设备IMEI的人都可以获取Truecaller用户的个人信息(包括电话号码、家庭地址、邮箱、性别等),并在未经用户同意的情况下篡改应用程序设置,使他们暴露在恶意钓鱼者面前。”。
猎豹移动研究人员告诉记者黑客新闻他们只需与Truecaller的服务器进行交互,就可以在利用代码的帮助下检索属于其他用户的个人数据。
成功利用此漏洞后,攻击者可以:
- 窃取账户名、性别、电子邮件、个人资料照片、家庭地址等个人信息。
- 修改用户的应用程序设置。
- 禁用垃圾邮件拦截器。
- 添加到用户的黑名单中。
- 删除用户的黑名单。
Cheetah Mobile将该漏洞告知Truecaller,该公司于3月22日更新了服务器,并发布了升级版的Android应用程序,以防止滥用该漏洞。
Truecaller在周一发布的博客文章中表示,该漏洞没有泄露其任何用户信息。
如果没有,请立即从谷歌Play商店下载适用于Android设备的最新版本Truecaller!
如果没有,请立即从谷歌Play商店下载适用于Android设备的最新版本Truecaller!
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
