Уязвимость в приложении Truecaller подвергла риску 150 млн пользователей

Исследователь Эраз Ахмед (Ehraz Ahmed) обнаружил уязвимость в популярном мобильном приложении для блокировки вызовов Truecaller. Ее эксплуатация позволяет раскрыть данные о пользователях, информацию о системе и местоположении.

Исследователь также опубликовал PoC-код, демонстрирующий, что вместо изображения профиля может быть установлена ​​«вредоносная ссылка». Вредоносная ссылка может быть использована злоумышленником для получения IP-адресов других пользователей Truecaller и осуществления таких атак, как брутфорс и DDoS.

Приложение Truecaller позволяет блокировать нежелательные входящие вызовы, в том числе спам-звонки. Платформа доступна во всем мире, но особенно популярна в Индии, и насчитывает более 500 млн загрузок и 150 млн активных пользователей в день.

В ходе эксплуатации уязвимости Ахмеду удалось получить информацию о пользователе, такую ​​как IP-адрес и User-Agent. Атака осуществляется в фоновом режиме без ведома пользователя.

Разработчики Truecaller подтвердили наличие данной проблемы и сразу выпустили исправление, устраняющее уязвимость. Пользователям рекомендуется проверить, что их приложение обновлено до последней версии.

Напомним, летом нынешнего года из-за ошибки в обновленной версии Truecaller регистрировало пользователей в платежном сервисе без их согласия. Никаких разрешений на подобные действия у пользователей приложение не запрашивало, а лишь разослало им текстовые уведомления о свершившемся факте.