獵豹移動安全研究實驗室的安全研究人員發現呼叫管理應用程序Truecaller存在嚴重漏洞。

科普：

Truecaller—— 瑞典公司，主要通過收集號碼簿以及利用眾包(用戶提供個人通信錄)的方式來收集和歸類各種號碼，然后提供陌生來電識別標注、營銷電話攔截以及聯系人管理、黃頁查詢等功能，同時還與 Yelp、Twitter 等社交工具進行連接，號稱要成為 “黃頁中的 Google”。擁有 1.5 億用戶，其中 8000 萬來自新興大國印度。

安卓用戶請盡快去更新

近日，獵豹移動安全研究實驗室的安全研究人員發現呼叫管理應用程序Truecaller存在嚴重漏洞。

該漏洞允許任何人竊取Truecaller用戶的敏感信息，為攻擊者實施攻擊提供條件。總體來說，一億多已在智能手機上下載該應用程序的Android用戶正處于危險之中。

研究人員發現，Truecaller使用設備的IMEI作為其用戶的唯一身份認證標簽。這意味著任何人只要獲得了設備的IMEI就能得到Truecaller用戶的個人信息(包括電話號碼、家庭地址、郵箱、性別等)，并且在沒有用戶的同意下，可以任意篡改用戶的APP設置，將真正的用戶暴露于惡意釣魚者的威脅下。

通過利用這個漏洞，攻擊者可以：

竊取用戶個人信息，如賬戶姓名、性別、電子郵件、個人檔案相片、家庭住址等;
修改用戶的APP設置;
禁用垃圾郵件攔截器;
為用戶添加黑名單;
刪除用戶的黑名單等。

獵豹移動安全研究小組在發現漏洞的第一時間已經通知了Truecaller的有相關開發人員，并提供一切可能來幫助開發人員解決問題。現在Truecaller的制造商已經解決了該問題，并于3月22日發布了一個升級程序。

雖然，在最新的版本中該漏洞已被修復，但是沒有更新最新版本的廣大用戶仍然處于危險之中。CM安全研究實驗室的專家建議Truecaller用戶盡快將該應用程序升級到最新版本。