martes, 29 de marzo de 2016

Un fallo en Truecaller expone datos de usuarios android

Seguro que más de uno conoce esta aplicación que permite gestionar de una forma relativamente sencilla las llamadas y los mensajes entrantes en el terminal móvil, en este caso con sistema operativo de los de Mountain View. Expertos en seguridad han detectado un fallo de seguridad en TrueCaller que permitiría la exposición de los datos de los usuarios.

La aplicación permite por ejemplo escoger de qué números de teléfono se quiere bloquear las llamadas entrantes o incluso mensajes de texto, pudiendo categorizar estos como spam. Teniendo en cuenta que la aplicación se encuentra disponibles para Android, iOS, Windows Phone, Symbian y Blackberry, sorprende bastante a los expertos que el problema de seguridad esté acotado solo a los terminales con el primero de los sistemas operativos que se encuentran en el listado.

Para todo aquel que no haya utilizado la aplicación hasta este momento, vamos a tratar de ponerle en antecedentes. Cuando un usuario instala la aplicación y se ejecuta por primera vez, solicita al usuario introducir una serie de datos, como por ejemplo el número de teléfono, la dirección de correo electrónico u otros datos personales que posteriormente son verificados utilizando un mensaje de texto. Posteriormente la aplicación no necesita ningún dato más y solo hace uso del IMEI para verificar la identidad del dispositivo.

Es este el problema que han detectado, ya que investigadores de Cheetah Mobile han reconocido que se puede interactuar con el servidor y enviar códigos IMEI generados de forma aleatoria y recibir en muchos casos respuesta con datos relacionados con ese dispositivo.




El problema es que este error permite el acceso a toda la información facilitada por el usuario y no solo eso, también permite modificar esta y solo interactuando con el IMEI. Teniendo en cuenta la cantidad de amenazas existentes en la actualidad que recopilan los datos de los terminales de los usuarios parece sencillo que estos se hagan con este código y puedan utilizarlo de forma fraudulenta, por ejemplo ante esta vulnerabilidad.

Sabiendo que la aplicación está instalada en cien millones de dispositivos Android, desde la aplicación recomienda actualizar a la última versión que ya se encuentra disponible y que permite resolver este problema, o al menos que no se permita acceder a la información de las cuentas sin el consentimiento del usuario.


Esta vulnerabilidad solo es explotable desde el dispositivo Android y aunque parece que no existe en otros sistemas operativos, los responsables del servicio han guardado silencio al respecto.
Saludos.
Lexer Pars.

No hay comentarios:

Publicar un comentario