חוקר גילה פירצת אבטחה יצירתית ב-TrueCaller

כבר עדכנתם את האפליקציה?

מקור: TrueCaller

אחת האפליקציות שרבים מתקשים לדמיין את החיים בלעדיהן היא TrueCaller, שמאפשרת לנו לראות את זהות המתקשרים אלינו גם אם הם אינם נמנים על אנשי הקשר שלכם. בשנים האחרונות האפליקציה עוברת לא מעט שינויים ומקבלת עדכונים רבים שמנסים להפוך אותה להרבה יותר מאפליקציה לזיהוי מתקשרים, אבל אחד הפיצ׳רים המרכזיים שלה הוביל לפירצת אבטחה יצירתית למדי.

ניתן להוביל משתמשים ללינקים זדוניים בלי שהם יודעים על כך

לכל משתמש ב-TrueCaller יש פרופיל המכיל את הפרטים אותו הזין (או שאחרים הזינו בשבילו כאשר התקינו בעצמם את האפליקציה ששאבה את כל אנשי הקשר שלהם). עתה חושף חוקר אבטחה כי גילה חולשה ב-API של השירות, אשר מנצל את מנגנון תמונות הפרופיל של TrueCaller כדי להתחיל מתקפה מבלי שהמשתמש ידע שהיא בהכרח מתרחשת.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

במסגרת ניצול החולשה, החוקר גילה כי הוא יכול להחליף בקלות תמונות פרופיל בשירות לכדי לינקים שיפעילו פקודות שונות. במקרה שלו, החוקר שתל לינק זדוני שמסוגל לשלוף את כתובת ה-IP של המשתמש ברקע. בכך, הוא יכול לגורם למשתמשים לפתוח את הלינק ללא ידיעתם במנוע החיפוש של האפליקציה או פשוט על ידי חיוג אליהם, מה שמאפשר תקיפה מדויקת למדי. פעולה שכזו, לדבריו, יכולה לאפשר לתוקף להתחיל מתקפות DDoS, Brute Force או להתחיל לחפש אחר פורטים פתוחים בראוטר של המשתמש כדי לתקוף אותו.


כך תסירו את המספר שלכם מ-TrueCaller בשניות, אבל עדיין תיהנו ממנה


לאחר שהחוקר חשף את את פרטי הפירצה בפני TrueCaller, מיהר הסטארטאפ השוודי לתקן את הבעיה, כך שאם עדכנתם את האפליקציה לאחרונה, סביר להניח שאתם בטוחים. מ-TrueCaller נמסר כי הם מודים לחוקר שמצא את הפירצה ושיתף עימם פעולה, מה שהוביל לתיקון מיידי של הבאג. בנוסף, הודיעה החברה כי בקרוב תשיק תוכנית Bounty שתאפשר להם לגלות בעיות כאלו ואחרות מבעוד מועד, ותתגמל את החוקרים אשר ימצאו את הבעיות.

מה זה Bounty Program?

אצל חלק גדול מחברות הטכנולוגיה יש נוהל קבוע: אתם תנברו במוצרים ובקוד של החברה, תמצאו את הבעיות שצוות האבטחה שלה לא איתר בעצמו, תדווחו לחברה עליהן באופן דיסקרטי (ולא תפרסמו אותן ברבים), החברה תימצא את הפתרון הראוי לחסימת האיום ואתם תקבלו סכום כסף בהתאם לאיום שמצאתם. פשוט ממש כמו ציידי ראשים במערב הפרוע (או אפילו בימינו, תאמינו או לא), ולא סתם קוראים לתוכניות הללו “Bounty Program”. כולם מרוויחים מההסדר הזה: לקהילת האבטחה ואפילו ההאקרים יש תמריץ לעבודתם, ובמקביל, החברות משפרות את אבטחת המוצרים שלהן, ולא מגלות את הפירצות רק אחרי שהאקרים עושים בהן שימוש לרעה. המשתמשים כמובן מרוויחים מכך שהמוצרים שלהם הופכים להרבה יותר מאובטחים, ואותן פירצות לא מגיעות לשוק השחור או כמובן משומשות לרעה על ידי אנשים קצת פחות סימפטיים שמוכנים לשלם לא מעט בשביל לעשות לכם נזק.


עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

7 תגובות על "חוקר גילה פירצת אבטחה יצירתית ב-TrueCaller"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אביחי
Guest

True Caller היא אפליקציה נוראית.

כותרת המשנה לא צריכה להיות “כבר עדכנתם את האפליקציה?” אלא “אנחנו רק רוצים לוודא שאתם לא משתמשים באפליקציה הזוועתית הזו, שחודרת לפרטיות שלכם בצורה נוראית, ויותר מכך – לפרטיות של אנשי הקשר שלכם, שלא נתנו מעולם את הסכמתם לשיוך מספר הטלפון שלהם לשם, שנכפה עליהם על ידכם, כאשר התקנתם את האפליקציה הזו”.

מגגכגומחה
Guest

מאוחר מידיי סביר להניח שאתה וכולנו כבר במאגר..

בצל כחול
Guest

גם אם תסיר את האפליקציה מהמכשיר שלך זה לא יעזור.
הפרטים שלך כבר קיימים במאגר בגלל כל החברים שלך שהתקינו אותה.

אביחי
Guest

ברור. לכן כתבתי את הסיפא. זה מה שנורא פה.

בודהה
Guest

שימו לב שיש עמוד הסרה:
https://www.truecaller.com/unlisting

זה מסיר אותכם מהמאגר
(אבל הם כמובן לא יפצו אותכם על אובדן הפרטיות בנמשך שנים, בתקופה שלא ידעתם שניתן להיות מוסרים מהמאגר. מקווה שמישהו יתבע אותם על כך)

מישהו
Guest

היא לא. בעיית הפרטיות היא חמורה, אבל כשמשרד התקשורת לא פועל לחסימת ספאמרים, נוכלים ושער עוקצים, זו המגן האחרון בפני האדם הפשוט. אני רוצה לדעת מי מתקשר אלי וזו זכותי, ומספר הטלפון שלך הוא כמו public ip. לא רוצה לחשוף אותו? תעשה מספר חסוי ותראה מי יענה לך.

חסיד בודהה
Guest

תודה בודהה

wpDiscuz

תגיות לכתבה: