Kurumsal IT-Teknoloji Eğitimleri-Eğitim Takvimi

Truecaller Kullanan 100 Milyon Kullanıcıyı Bekleyen Uzaktan İstismar Edilebilir Açıklık

Popüler arayan numarayı gösterme uygulaması Truecaller, güvenlik araştırmacılarının keşfettiği uzaktan istismar edilebilir açıklık ile milyonlarca kullanıcısının kişisel bilgilerinin sızmasına olanak veriyor.

Truecaller arayan numaraları bulup gösteren ve hatta SMS ve çağrı alınmasını engelleyerek reklam SMS ve aramalarından kurtulmanızı sağlayan popüler bir uygulama. Android, iOS, Windows, Symbian ve BlackBerry telefonlarla uyumlu mobil uygulamalara sahip. 100 Milyondan fazla indirilmiş durumda.

Cheetah Mobile Security Research Lab tarafından keşfedilen zafiyet aslında Trucaller’ın kullanıcılarını sistemlerinde tanımlama yöntemiyle ilgili bir durum.

Uygulama kurulduktan sonra telefon numarası, eposta ve diğer bilgilerle birlikte IMEI numarası da sisteme tanımlanıyor. Bundan sonra herhengi bir giriş işlemi yapılmadan uygulama başlatılıyor. Sorun da tam burada. Telefonunuzun IMEI bilgisine erişebilen herkes girdiğiniz tüm kişisel bilgilerinize de ulaşabilir durumda oluyor. Hatta uygulama ayarlarınızı bile haberiniz olmadan değiştirebiliyor.

Cheetah Mobile araştırmacıları yazdıkları istismar kodu ile Truecaller sunucularından birçok kullanıcının bilgilerine erişebildiklerini belirttiler. Teoride bu yöntem ile tüm kullanıcıların bilgilerine erişilebilir durumda.

Başarılı bir saldırıda yapılabilecekler ise;

  • Hesap adı, cinsiyet, eposta, profil fotoğrafı, ev adresi ve bunun gibi bir çok kişisel bilgileriniz çalınabilir
  • Uygulama ayarlarınız değiştirilebilir
  • Spam olarak ayarladığınız numarlar silinebilir
  • Black List’e eklediğiniz numralar silinebilir ya da numara eklenebilir.

Korunma yöntemi ise basit. 22 Mart tarihinden sonraki bir sürüme güncelleme yapmanız bu zafiyetten etkilenmenizi önlemeye yetiyor.