منبع: truecaller.com - Truecaller می تواند به مهاجمان اجازه دهد یک لینک مخرب را به عنوان URL نمایه تزریق کند و از اهداف روی سکو استفاده کند.
- [درAPIبرنامهموجوداستوتوسطیکمحققامنیتیهندیکشفشدهاست
- برنامه تقریباً بلافاصله این نقص را برطرف کرده است ، اما برخی از کاربران هنوز از نسخه قدیمی استفاده می کنند.
Truecaller ، یک برنامه مسدود کننده تماس ناخواسته است که استفاده می شود حدود 250 میلیون نفر در هر دو سیستم عامل اندروید و IOS برای رفع نقص امنیتی امنیتی در آخر هفته تلاش کرده اند این آسیب پذیری توسط احراز احمد ، محقق امنیتی هند کشف شده است ، که احتمالاً فکر می کند ایده خوبی است برای جستجو در این برنامه زیرا این نقص به یک مهاجم اجازه می دهد تا پیوند مخرب خود را به عنوان یک URL نمایه تزریق کند ، از یک قربانی سوء استفاده کند که می تواند نمایه مخرب را مشاهده کند ، یا حتی با یک پنجره از آن خدمت کند.
محقق PU جزئیات این آسیب پذیری را هنوز هم نابود کرد ، زیرا این شرکت هنوز در حال رفع مشکلاتی برای کاربران است و همه آنها به جدیدترین نسخه در دسترس نیستند. با این حال ، وی ویدئویی بارگذاری کرد که اثبات مفهومی را که در YouTube ایجاد کرده بود نشان می دهد. احمد اشاره می کند که PoC خاص نسبتاً خوش خیم است و مهاجمان می توانند حملات جدی را به اهداف خود سوار کنند. از آنجا که این نقص بر API Truecaller تأثیر می گذارد ، بر تمام نسخه های برنامه و سیستم عامل ها تأثیر می گذارد. شایان ذکر است که شرکت پشت اپلیکیشن سعی کرده است با استفاده از این واقعیت که احمد تصمیم به نشان دادن بدترین حالت های این نقص را ندارد ، شدت مشکلات را کاهش دهد.
به سادگی توانایی خود را برای واکشی آدرس IP کاربر ، عامل کاربر و زمان نشان داد. برای قربانی ، این فعالیت آشکار نیست ، بنابراین آنها می توانند بدون هیچ گونه نشانه ای مورد سوء استفاده قرار بگیرند. اگر آخرین نسخه برنامه Truecaller را به روزرسانی کرده اید ، باید از ماه آگوست در امان باشید ، زیرا سازنده نرم افزار خیلی سریع به دنبال این گزارش واکنش نشان داده است. آنها اکنون با انجمن تحقیقات امنیتی شریک هستند و همچنین قصد دارند یک برنامه فضل را به زودی اعلام کنند تا قبل از اینکه یک بازیگر مخرب انجام شود ، نقص هایی مانند موارد فوق را پیدا کرده و برطرف سازند.
Truecaller و برنامه هایی مانند آن برای کمک به افراد در شناسایی تماس گیرندگان و فرستندگان پیام کوتاه ، در واقع در مسدود کردن تماس های اسپم و telemarketers کمک می کنند. با این حال ، این تنها وسیله ای نیست که از طریق آن می توانید از آرامش خاطر در گوشی هوشمند خود لذت ببرید. اگر به عنوان مثال در هندوستان هستید ، ارسال "START 0" به سال 1909 سرویس "ارائه دهنده مزاحمت" (DND) ارائه دهنده خدمات مخابراتی شما را فعال می کند. در کشورهای دیگر ، می توانید بفهمید که رجیستری تبلیغاتی پایگاه داده چیست و شماره خود را از آن حذف کنید. معمولاً ، به آسانی ارسال پیام کوتاه و انتظار برای چند روز انتظار برای تغییر است.
آیا شما یکی از 250 میلیون کاربر Truecaller هستید؟ نظرات خود را با ما در کامنتهای زیر به اشتراک بگذارید ، یا در بحث در مورد اجتماعی ما ، در فیس بوک و توییتر به ما بپیوندید.