آسیب پذیری اجرای کد در برنامه‌ی TruCaller بیش از ۱۰۰ میلیون کاربر را به خطر انداخت

محققان امنیتی آسیب پذیری اجرای کد از راه دوری را در برنامه مدیریت تماس TruCaller کشف کردند که اطلاعات شخصی میلیون‌ها کاربرش را در معرض خطر قرار می‌داد.
Truecaller برنامه‌ای محبوب است که می‌توان هر شماره تلفنی را با آن جستجو و شناسایی کرد و همچنین به کاربران کمک می‌کند که تماس‌ها و پیام‌های کوتاه را که از شماره‌های ناخواسته و بازاریابی‌های تلفنی می‌آید مسدود کند.
برنامه TrueCaller در نسخه‌های اندرویدی، iOS، ویندوز و دستگاه‌های سیمبیان و گوشی‌های بلک بری موجود می‌باشد.
این آسیب پذیری که توسط آزمایشگاه تحقیقاتی امنیتی موبایل Cheetah در چین کشف شده است، نسخه اندرویدی برنامه Truecaller را بررسی کرده است. طبق فهرست گوگل پلی بیش از ۱۰۰ میلیون کاربر اندرویدی این برنامه را بارگیری کرده‌اند.
در حقیقت مشکل این برنامه در شیوه‌ی شناسایی کاربران می‌باشد.
نسخه اندرویدی Truecaller هنگام نصب از کاربران می‌خواهد شماره تلفن، آدرس رایانامه و دیگر اطلاعات شخصیشان را وارد کنند و این اطلاعات نیز توسط یک پیام متنی یا تماس صوتی تایید می‌شوند. بعد از این مرحله، کاربر هر زمانی که برنامه را باز کند با صفحه ورود مواجه نخواهد شد و به طور مستقیم وارد برنامه می‌شود.
طبق گفته محققان این مشکل به این علت ایجاد شده است که Ttuecaller از IMEI (شناسه بین المللی تجهیزات موبایل) برای شناسایی و تایید کاربران استفاده می‌کند.
گروه تحقیقاتی موبایل Cheetah در وبلاگی نوشتند: «هرکسی که بتواند به IMEI گوشی همراهی دسترسی یابد می‌تواند به اطلاعات شخصی کاربران Truecaller (از جمله شماره تلفن، آدرس خانه، رایانامه‌‌های قربانی، جنسیت و غیره) نیز دسترسی یابد و تنظیمات برنامه را بدون نیاز به تایید کاربر تغییر دهد و همچنین تلفن همراه کاربران را در معرض فیشرهای مخرب (Phisher) قرار دهد.
محققان Cheetah گفته‌اند که می‌توانند اطلاعات شخصی متعلق به کاربران دیگر را به کمک کد دسترسی و تنها با فعل و انفعال با کارگزار Truecaller به دست آورند.
مجرمان سایبری با یک حمله موفق به این آسیب‌پذیری می‌توانند کارهای زیر را انجام دهند:
– به سرقت بردن اطلاعات شخصی مانند نام صاحب حساب، جنسیت، رایانامه، عکس پروفایل، آدرس خانه و غیره با استفاده از شماره ۱۵ رقمی (IMEI)
– تغییر تنظیمات برنامه کاربری کاربر
– غیرفعال کردن مسدود‌کننده‌های هرزنامه
– افزودن کاربران به فهرست سیاه (بلک لیست)
– پاک کردن فهرست سیاه کاربر
گروه Cheetah این نقص را به Truecaller اطلاع داد و این شرکت همراه با به‌روز‌رسانی کارگزارها، نسخه‌ی ارتقاء یافته‌ی اندرویدی این برنامه را نیز در ۲۲ مارس منتشر کرد تا هرگونه سوء‌استفاده از این خطا و آسیب‌پذیری جلوگیری کند.
Truecaller در پستی وبلاگی که در روز دوشنبه منتشر شد گفت که این آسیب‌پذیری اطلاعات هیچ کاربری را در معرض خطر قرار نداده است.
اگر هنوز جدیدترین نسخه‌ی اندرویدی Truecaller را ندارید، هم اکنون آ ن را از گوگل پلی بارگیری کنید.
ظاهراً مجرم سایبری برای به دست آوردن شماره IMEI یک کاربر نسبت به انجام حمله از طریق حفره‌ی Truecaller وصله‌ شده به مشکل بیشتری برمی‌خورد. شماره‌های IMEI که توسط شبکه‌های GSM برای تایید اعتبار دستگاه‌ها استفاده می‌شوند به دستگاه‌های تلفن همراه مربوط هستند بنابراین در اکثر مواقع مجرم سایبری می‌تواند به شماره تلفن قربانی دسترسی فیزیکی پیدا کند و با آن تماس برقرار کند.
گفته می‌شود که این بدافزار اندرویدی می‌تواند اطلاعات حساس مانند شماره‌ IMEI و شماره سیم کارت کاربران را به دست آورد. سال گذشته محققان Zscaler متوجه برنامه‌ای شدند که تحت عنوان یک متن (Word) اطلاعات را در معرض خطر قرار می‌داد. اگر کاربری این برنامه را نصب کند، شماره‌ها را به همراه پیام‌های متنی و اطلاعات تماس را برای مهاجم می‌فرستد.
از انواع دیگر چنین بدافزارهایی می‌توان بدافزاری را نام برد که با عنوان برنامه باتری و بدافزاری دیگر به شکل برنامه امنیتی کار می‌کنند. این بدافزارها طی چند سال اخیر اطلاعات تلفن همراه‌های آلوده شده – از جمله شماره‌های IMEI- را به مجرمان سایبری ارسال کرده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.