獵豹移動安全研究實驗室的安全研究人員發(fā)現(xiàn)呼叫管理應(yīng)用程序Truecaller存在嚴(yán)重漏洞。

科普：

Truecaller—— 瑞典公司，主要通過收集號碼簿以及利用眾包(用戶提供個人通信錄)的方式來收集和歸類各種號碼，然后提供陌生來電識別標(biāo)注、營銷電話攔截以及聯(lián)系人管理、黃頁查詢等功能，同時還與 Yelp、Twitter 等社交工具進行連接，號稱要成為 “黃頁中的 Google”。擁有 1.5 億用戶，其中 8000 萬來自新興大國印度。

安卓用戶請盡快去更新

近日，獵豹移動安全研究實驗室的安全研究人員發(fā)現(xiàn)呼叫管理應(yīng)用程序Truecaller存在嚴(yán)重漏洞。

該漏洞允許任何人竊取Truecaller用戶的敏感信息，為攻擊者實施攻擊提供條件。總體來說，一億多已在智能手機上下載該應(yīng)用程序的Android用戶正處于危險之中。

研究人員發(fā)現(xiàn)，Truecaller使用設(shè)備的IMEI作為其用戶的唯一身份認(rèn)證標(biāo)簽。這意味著任何人只要獲得了設(shè)備的IMEI就能得到Truecaller用戶的個人信息(包括電話號碼、家庭地址、郵箱、性別等)，并且在沒有用戶的同意下，可以任意篡改用戶的APP設(shè)置，將真正的用戶暴露于惡意釣魚者的威脅下。

通過利用這個漏洞，攻擊者可以：

竊取用戶個人信息，如賬戶姓名、性別、電子郵件、個人檔案相片、家庭住址等;
修改用戶的APP設(shè)置;
禁用垃圾郵件攔截器;
為用戶添加黑名單;
刪除用戶的黑名單等。

獵豹移動安全研究小組在發(fā)現(xiàn)漏洞的第一時間已經(jīng)通知了Truecaller的有相關(guān)開發(fā)人員，并提供一切可能來幫助開發(fā)人員解決問題。現(xiàn)在Truecaller的制造商已經(jīng)解決了該問題，并于3月22日發(fā)布了一個升級程序。

雖然，在最新的版本中該漏洞已被修復(fù)，但是沒有更新最新版本的廣大用戶仍然處于危險之中。CM安全研究實驗室的專家建議Truecaller用戶盡快將該應(yīng)用程序升級到最新版本。