应用Truecaller存在远程利用漏洞,影响一亿安卓设备

安全 漏洞 移动安全
猎豹移动安全研究实验室的安全研究人员发现呼叫管理应用程序Truecaller存在严重漏洞。

猎豹移动安全研究实验室的安全研究人员发现呼叫管理应用程序Truecaller存在严重漏洞。

科普:

Truecaller—— 瑞典公司,主要通过收集号码簿以及利用众包(用户提供个人通信录)的方式来收集和归类各种号码,然后提供陌生来电识别标注、营销电话拦截以及联系人管理、黄页查询等功能,同时还与 Yelp、Twitter 等社交工具进行连接,号称要成为 “黄页中的 Google”。拥有 1.5 亿用户,其中 8000 万来自新兴大国印度。

安卓用户请尽快去更新

近日,猎豹移动安全研究实验室的安全研究人员发现呼叫管理应用程序Truecaller存在严重漏洞。

该漏洞允许任何人窃取Truecaller用户的敏感信息,为攻击者实施攻击提供条件。总体来说,一亿多已在智能手机上下载该应用程序的Android用户正处于危险之中。

研究人员发现,Truecaller使用设备的IMEI作为其用户的唯一身份认证标签。这意味着任何人只要获得了设备的IMEI就能得到Truecaller用户的个人信息(包括电话号码、家庭地址、邮箱、性别等),并且在没有用户的同意下,可以任意篡改用户的APP设置,将真正的用户暴露于恶意钓鱼者的威胁下。

应用Truecaller存在远程利用漏洞,影响一亿安卓设备

通过利用这个漏洞,攻击者可以:

窃取用户个人信息,如账户姓名、性别、电子邮件、个人档案相片、家庭住址等;
修改用户的APP设置;
禁用垃圾邮件拦截器;
为用户添加黑名单;
删除用户的黑名单等。

猎豹移动安全研究小组在发现漏洞的第一时间已经通知了Truecaller的有相关开发人员,并提供一切可能来帮助开发人员解决问题。现在Truecaller的制造商已经解决了该问题,并于3月22日发布了一个升级程序。

虽然,在最新的版本中该漏洞已被修复,但是没有更新最新版本的广大用户仍然处于危险之中。CM安全研究实验室的专家建议Truecaller用户尽快将该应用程序升级到最新版本。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2015-08-06 14:51:19

2018-02-02 12:02:23

2022-12-08 09:47:29

2014-04-25 09:24:46

2020-12-08 12:18:09

安卓应用漏洞

2015-04-23 19:36:38

2021-05-07 11:06:44

漏洞Qualcomm MS高通

2015-03-13 19:15:06

2020-10-13 10:29:31

面部识别设备恶意攻击漏洞

2015-07-02 14:29:22

2016-12-26 16:21:11

2015-04-27 15:49:21

2015-07-13 09:21:27

2021-07-26 05:17:14

安卓APP漏洞攻击

2013-07-30 10:01:10

2016-11-11 11:11:25

2021-03-24 14:28:33

漏洞高通芯片安卓设备

2011-10-09 15:03:15

手机

2014-11-11 10:05:04

2023-03-30 19:04:57

点赞
收藏

51CTO技术栈公众号