چاپ        ارسال به دوست

کشف آسیب‌پذیری بحرانی در اپلیکیشن Truecaller

یک محقق امنیتی به نام Ehraz Ahmed ، آسیب‌پذیری بحرانی را در اپلیکیشن محبوب Truecaller کشف کرد که می‌توانست امنیت میلیون‌ها کاربر را تهدید کند. برنامه Truecaller یک برنامه کاربردی تحت سیستم‌های عامل مختلف گوشی‌های هوشمند است که امکاناتی نظیر شناسایی تماس‌گیرنده، مسدود کردن تماس، ضبط تماس، و نظایر آن را ارائه می‌دهد.

به طور خاص، این آسیب‌پذیری به کاربر این امکان را داد تا URL را در تصویر پروفایل قرار دهد. از این رو، یک مهاجم بالقوه می‌توانست از این نقص برای تزریق URL مخرب به تصویر پروفایل سوء استفاده کند. در نتیجه، هرکسی که روی این پروفایل کلیک کند، قربانی این حمله خواهد شد. این محقق فاش کرد که چنین حملاتی می‌تواند این امکان را به مهاجم دهد تا جزئیات زیادی را درباره کاربر به دست آورد. این جزئیات شامل آدرس IP قربانی، عامل کاربر و زمان می‌باشد که بدون اطلاع کاربر صورت می‌گیرد. او همچنین یک اثبات مفهوم (POC) از این سوء استفاده را به اشتراک گذاشته است که نشان می‌دهد چگونه یک مهاجم می‌تواند اطلاعات قربانی را بدست آورد.

این محقق پس از پیدا کردن آسیب مذکور و قبل از عمومی شدن آن، سریعا Truecaller را از این موضوع مطلع ساخت. در نتیجه، Truecaller نقص مذکور را در API برنامه وصله کرد و نسخه اصلاح‌شده را منتشر نمود.

منبع:https://latesthackingnews.com


 دسته‌ها: آسیب پذیری‌ها


١٦:٠٠ - شنبه ٩ آذر ١٣٩٨    /    شماره : ٢٤٣٤٤    /    تعداد نمایش : ٤٠



خروج