O aplicativo de identificação e bloqueio de chamadas TrueCaller corrigiu uma falha de segurança que pode expor dados confidenciais do usuário, localização e informações do sistema.
A falha foi descoberta por um pesquisador de segurança da Índia, Ehraz Ahmed.
O Truecaller é o aplicativo de smartphone mais popular que inclui recursos como mensagens instantâneas, gravação de chamadas, chat, além dos que já foram citados.
O aplicativo é muito popular na Índia e possui milhões de downloads em todo o mundo, cobrindo as plataformas iOS e Android.
A falha no aplicativo de identificação e bloqueio de chamadas TrueCaller
Segundo Ahmed, a falha permite que um invasor injete um link malicioso como URL do perfil e, ao clicar no perfil, o script malicioso será executado sem o consentimento do usuário.
Ahmed disse que a falha pode permitir que os atacantes
montem ataques sérios nas máquinas alvo, embora esse não tenha sido o escopo da prova de conceito e tenha sido minimizado pela empresa.
O Truecaller confirmou à Forbes que
recentemente nos chamou a atenção que havia um pequeno bug em nossos serviços de aplicativos que permitia modificar o perfil de uma pessoa de maneira não intencional.
A empresa também agradeceu ao pesquisador por colaborar e o bug foi corrigido imediatamente. Todos os usuários são recomendados para atualizar com a versão mais recente.
Ahmed também compartilhou um vídeo de PoC que demonstra a falha e como um invasor pode usar a vulnerabilidade para buscar as informações:
Esta não é a primeira vez que o aplicativo de identificação e bloqueio de chamadas TrueCaller se envolveu em um incidente de segurança. Anteriormente, foi relatado que os dados do Truecaller estavam disponíveis na venda na Dark Web.
O Telegram também mencionou que eles devem lançar um programa de recompensa pela Web em breve.
Via: GBHackers On Security