in

Falha no aplicativo de identificação e bloqueio de chamadas TrueCaller permite invasão

Esta vulnerabilidade faz com que acessem dados do usuário, localização e informações do sistema.

Falha no aplicativo de identificação e bloqueio de chamadas TrueCaller permite invasão
Imagem: reprodução / Art Directory India

O aplicativo de identificação e bloqueio de chamadas TrueCaller corrigiu uma falha de segurança que pode expor dados confidenciais do usuário, localização e informações do sistema.

A falha foi descoberta por um pesquisador de segurança da Índia, Ehraz Ahmed.

O Truecaller é o aplicativo de smartphone mais popular que inclui recursos como mensagens instantâneas, gravação de chamadas, chat, além dos que já foram citados.

O aplicativo é muito popular na Índia e possui milhões de downloads em todo o mundo, cobrindo as plataformas iOS e Android.

A falha no aplicativo de identificação e bloqueio de chamadas TrueCaller

Falha no aplicativo de identificação e bloqueio de chamadas TrueCaller permite invasão

Segundo Ahmed, a falha permite que um invasor injete um link malicioso como URL do perfil e, ao clicar no perfil, o script malicioso será executado sem o consentimento do usuário.

Ahmed disse que a falha pode permitir que os atacantes

montem ataques sérios nas máquinas alvo, embora esse não tenha sido o escopo da prova de conceito e tenha sido minimizado pela empresa.

O Truecaller confirmou à Forbes que

recentemente nos chamou a atenção que havia um pequeno bug em nossos serviços de aplicativos que permitia modificar o perfil de uma pessoa de maneira não intencional.

A empresa também agradeceu ao pesquisador por colaborar e o bug foi corrigido imediatamente. Todos os usuários são recomendados para atualizar com a versão mais recente.

Ahmed também compartilhou um vídeo de PoC que demonstra a falha e como um invasor pode usar a vulnerabilidade para buscar as informações:

Esta não é a primeira vez que o aplicativo de identificação e bloqueio de chamadas TrueCaller se envolveu em um incidente de segurança. Anteriormente, foi relatado que os dados do Truecaller estavam disponíveis na venda na Dark Web.

O Telegram também mencionou que eles devem lançar um programa de recompensa pela Web em breve.

Via: GBHackers On Security

Escrito por Fabiano Rodrigues

Usuário de Linux desde o Kurumin; servidor público, tecnólogo em análise e desenvolvimento de sistemas, amante de software livre e de código aberto; apaixonado por jogos, louco por rock e heavy metal, filmes e seriados.

Firefox 72 impedirá que sites sigam nossa trilha on-line por padrão

Firefox 72 impedirá que sites sigam nossa trilha on-line por padrão

Smartphones Librem 5 lote Birch começam a ser enviados

Smartphones Librem 5 lote Birch começam a ser enviados