Популярное приложение для блокировки вызовов Truecaller выпустило исправление безопасности после того, как исследователь безопасности обнаружил критическую уязвимость, предоставив данные о пользователях, информацию о системе и местоположении. Исследователь разработал POC, показывающий, что вместо изображения профиля может быть установлена “злонамеренная ссылка”, чтобы потенциально нацеливать атаки на других пользователей, просматривающих профиль. Атака может быть произведена на любого пользователя.

Truecaller был разработан в Швеции для управления вызовами спама и проверки неизвестных абонентов. Платформа доступна во всем мире, но особенно популярна в Индии, где по словам компании, она стала наиболее используемым средством коммуникации после гигантов социальных сетей. Во всем мире компания может похвастаться 500 миллионами загрузок своих кроссплатформенных приложений и 150 миллионами активных пользователей в день.

Исследователь из Индии, Эраз Ахмед обнаружил этот недостаток, рассказав о нем местным СМИ. Он объяснил, что:
“Недостаток позволяет злоумышленнику внедрить свою вредоносную ссылку в качестве URL профиля. Пользователь, просматривающий профиль злоумышленника с помощью поиска или всплывающего окна, попадает под удар”. Ахмед также сказал, что этот недостаток можно использовать для организации серьезных атак на целевые машины, хотя это не было целью доказательства концепции.

Самому Ахмеду удалось через POC получить информацию о пользователе. Такую как IP-адрес, User-Agent и время. Пользователь, посещающий профиль, не заметит этого, так как все это происходит в фоновом режиме, а для пользователя это будет выглядеть как любой другой профиль. Этот недостаток серьезно может повлиять на API Truecaller, а это в свою очередь является потенциальной угрозой для всех приложений и платформ.

Источник: https://leisurecentre.ru/poyavilas-novaya-ugroza-dlya-polzovatelej-android-i-ios/