新闻链接：http://bobao.360.cn/learning/detail/2817.html
新闻时间：2016-03-28
新闻正文：
远程利用Truecaller中的漏洞会对超过100万部安卓设备造成威胁。

来自猎豹移动安全研究实验室(Cheetah Mobile Security Research Lab)的安全研究人员发现了热门的来电管理应用程序Truecaller中的严重漏洞。该漏洞允许任何人窃取Truecaller用户的敏感信息,并且可能利用这些信息进行进一步的攻击。简单来说,100多万已经下载了这个应用程序到自己智能手机上的安卓用户正处于危险之中。

研究人员发现,Truecaller应用会使用设备的IMEI作为其用户的唯一的身份标签。这意味着只要获得别人设备的IMEI号,任何人都能得到Truecaller用户的个人信息(包括电话号码,家庭地址,邮箱,性别等),并且不经过用户的许可就能篡改用户的应用程序设置,对他们进行恶意钓鱼攻击。

http://p3.qhimg.com/t01458dc7e28f753caa.jpg

通过利用这个漏洞,攻击者可以:

窃取个人信息,如账户姓名,性别,电子邮件,个人档案相册,家庭住址等;

修改用户的应用程序设置;

禁用垃圾邮件拦截器;

添加号码到用户黑名单;

删除用户的黑名单。

猎豹移动安全研究小组会立即通知了Truecaller的和此漏洞有关的开发人员,基于他们关于此漏洞的一系列发现,研究人员会提供一切可能帮助Truecaller开发人员解决问题的信息。现在Truecaller制造商已经解决该问题,并于3月22日发布了一个更新版本。

虽然该漏洞已在最新的版本中被修复了,广大的用户仍然处于危险之中,因为很多人仍然没有更新这个应用。猎豹移动安全研究实验室建议Truecaller用户尽快升级这个应用程序到最新版本。

本文由 360安全播报 翻译，转载请注明“转自360安全播报”，并附上链接。
原文链接：http://securityaffairs.co/wordpress/45701/hacking/truecaller-remotely-exploitable-flaw.html

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课