WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Hơn 100 triệu người dùng Truecaller có nguy cơ bị tấn công từ xa
Các nhà nghiên cứu vừa phát hiện một lỗ hổng có thể khai thác từ xa trong ứng dụng xác định danh tính người gọi Truecaller. Lỗ hổng này có thể làm rò rỉ thông tin cá nhân của hàng triệu người sử dụng.
TrueCaller là một dịch vụ phổ biến "tìm kiếm và xác định bất kỳ số điện thoại," và giúp người dùng chặn cuộc gọi đến hoặc SMS từ các số điện thoại được phân loại gửi thư rác và tiếp thị.
Lỗ hổng, được phát hiện bởi Phòng nghiên cứu an ninh Cheetah Mobile, ảnh hưởng đến phiên bản Truecaller cho Android với hơn 100 triệu lượt tải về.
Vấn đề nằm trong cách TrueCaller xác định người sử dụng trong hệ thống của mình.
Khi được cài đặt, ứng dụng TrueCaller trên Android yêu cầu người dùng nhập số điện thoại, địa chỉ email, thông tin cá nhân khác, được xác thực bằng cuộc gọi hoặc tin nhắn SMS. Do TrueCaller sử dụng số IMEI của điện thoại để xác thực người dùng, mỗi khi người dùng mở ứng dụng, sẽ không có màn hình đăng nhập hiển thị.
"Bất cứ ai có được số IMEI của thiết bị đều có thể lấy được thông tin cá nhân của người dùng TrueCaller (gồm số điện thoại, địa chỉ nhà, hộp thư, giới tính…), xáo trộn các thiết lập ứng dụng mà không cần sự đồng ý của người sử dụng, và tiết lộ những thông tin đó cho kẻ xấu”, theo các nhà nghiên cứu.
Các nhà nghiên cứu cho biết có thể lấy được dữ liệu cá nhân của người khác bằng cách tương tác với máy chủ TrueCaller.
Khai thác thành công lỗ hổng này, tin tặc có thể:
Theo TrueCaller, lỗ hổng chưa ảnh hưởng đến thông tin người dùng.
Theo The Hacker News
TrueCaller là một dịch vụ phổ biến "tìm kiếm và xác định bất kỳ số điện thoại," và giúp người dùng chặn cuộc gọi đến hoặc SMS từ các số điện thoại được phân loại gửi thư rác và tiếp thị.
Lỗ hổng, được phát hiện bởi Phòng nghiên cứu an ninh Cheetah Mobile, ảnh hưởng đến phiên bản Truecaller cho Android với hơn 100 triệu lượt tải về.
Khi được cài đặt, ứng dụng TrueCaller trên Android yêu cầu người dùng nhập số điện thoại, địa chỉ email, thông tin cá nhân khác, được xác thực bằng cuộc gọi hoặc tin nhắn SMS. Do TrueCaller sử dụng số IMEI của điện thoại để xác thực người dùng, mỗi khi người dùng mở ứng dụng, sẽ không có màn hình đăng nhập hiển thị.
"Bất cứ ai có được số IMEI của thiết bị đều có thể lấy được thông tin cá nhân của người dùng TrueCaller (gồm số điện thoại, địa chỉ nhà, hộp thư, giới tính…), xáo trộn các thiết lập ứng dụng mà không cần sự đồng ý của người sử dụng, và tiết lộ những thông tin đó cho kẻ xấu”, theo các nhà nghiên cứu.
Các nhà nghiên cứu cho biết có thể lấy được dữ liệu cá nhân của người khác bằng cách tương tác với máy chủ TrueCaller.
Khai thác thành công lỗ hổng này, tin tặc có thể:
- Lấy cắp thông tin cá nhân như tên tài khoản, giới tính, e-mail, địa chỉ nhà..
- Sửa đổi cài đặt ứng dụng của người dùng.
- Vô hiệu hoá các ứng dụng chặn thư rác.
- Bổ sung danh sách đen cho người dùng.
- Xóa danh sách đen của người dùng.
Theo TrueCaller, lỗ hổng chưa ảnh hưởng đến thông tin người dùng.
Theo The Hacker News