Ее эксплуатация позволяет раскрыть данные о пользователях, информацию о системе и местоположении.
Исследователь Эраз Ахмед (Ehraz Ahmed) обнаружил уязвимость в популярном мобильном приложении для блокировки вызовов Truecaller. Ее эксплуатация позволяет раскрыть данные о пользователях, информацию о системе и местоположении.
Исследователь также опубликовал PoC-код, демонстрирующий, что вместо изображения профиля может быть установлена «вредоносная ссылка». Вредоносная ссылка может быть использована злоумышленником для получения IP-адресов других пользователей Truecaller и осуществления таких атак, как брутфорс и DDoS.
Приложение Truecaller позволяет блокировать нежелательные входящие вызовы, в том числе спам-звонки. Платформа доступна во всем мире, но особенно популярна в Индии, и насчитывает более 500 млн загрузок и 150 млн активных пользователей в день.
В ходе эксплуатации уязвимости Ахмеду удалось получить информацию о пользователе, такую как IP-адрес и User-Agent. Атака осуществляется в фоновом режиме без ведома пользователя.
Разработчики Truecaller подтвердили наличие данной проблемы и сразу выпустили исправление, устраняющее уязвимость. Пользователям рекомендуется проверить, что их приложение обновлено до последней версии.
Напомним, летом нынешнего года из-за ошибки в обновленной версии Truecaller регистрировало пользователей в платежном сервисе без их согласия. Никаких разрешений на подобные действия у пользователей приложение не запрашивало, а лишь разослало им текстовые уведомления о свершившемся факте.
Спойлер: мы раскрываем их любимые трюки