Truecaller ha solucionado una falla que podría permitir a los atacantes usar la API del servicio para colocar un enlace malicioso como URL para su foto de perfil. El enlace malicioso podría usarse para obtener direcciones IP de otros usuarios de Truecaller y realizar ataques como fuerza bruta y denegación de servicio distribuida (DDoS), en función de la información obtenida. Además, la falla podría permitir a los atacantes obtener las direcciones IP de los usuarios y buscar puertos abiertos. Para explotar la falla y atacar a un usuario de Truecaller, una parte malintencionada solo tenía que atraer a un usuario a un perfil infectado.
La falla existía en una de las API de Truecaller que permitía a los atacantes colocar sus enlaces maliciosos como URL para una imagen de perfil. El investigador de seguridad con sede en Bangalore Ehraz Ahmed descubrió la falla de Truecaller y mostró una prueba de concepto (PoC) a Gadgets 360. Al confirmar que el exploit era real, Gadgets 360 llamó la atención de Truecaller y conectó a la compañía con el investigador. Luego, esperamos responsablemente hasta que la compañía solucionó el problema antes de publicar este artículo.
Los atacantes que aprovechan la falla podrían obtener las direcciones IP de los usuarios y obtener en silencio su ubicación y los detalles del dispositivo. Debido a que era una falla de API, se podía acceder a través de todas las versiones de Truecaller, incluidos Android, iOS y la Web.
Una vez que se haya obtenido la dirección IP y otros datos del usuario a través de la falla, un atacante podría determinar los detalles de ubicación para rastrear a los usuarios que ven sus perfiles. La vulnerabilidad también podría explotarse para buscar puertos abiertos después de acceder a las direcciones IP para realizar ataques de fuerza bruta y DDoS.
"Cada vez que un usuario ve el perfil del atacante en Truecaller, ya sea haciendo una búsqueda o tocando la ventana emergente de una llamada, se ejecuta el script personalizado y se registra la dirección IP del usuario", explica Ahmed, y agrega que el usuario no observe cualquier diferencia ya que la URL del perfil no se muestra públicamente.
Para reproducir la falla, Ahmed desarrolló el PoC que muestra el proceso de registrar las direcciones IP de los usuarios en un archivo de registro. El script PHP personalizado utilizado por el investigador de seguridad trabajó con direcciones IP basadas en IPv4 e IPv6. Gadgets 360 también pudo verificar el alcance de la vulnerabilidad probándola a través de múltiples modelos de Android y iPhone. La secuencia de comandos personalizada pudo obtener direcciones IP de los dispositivos junto con resaltar sus números de modelo y versiones de software.
En caso de que un usuario esté buscando un perfil de Truecaller desde un escritorio, la falla podría informar a un atacante sobre los detalles del navegador. Para mostrar el alcance de la falla existente en Truecaller, Ahmed ha creado un video y publicado Un caso de estudio.
"Recientemente se nos llamó la atención que había un pequeño error en nuestros servicios de aplicaciones que permitía la modificación del propio perfil de manera no intencionada", dijo Truecaller en un comunicado a Gadgets 360. "Agradecemos al investigador de seguridad por traer esto a nuestro aviso y colaborando con nosotros. El error se solucionó de inmediato ".
Truecaller también reveló que está listo para lanzar un programa de recompensas de errores para recompensar a los investigadores de seguridad que informan fallas en su sistema en el futuro.
"En Truecaller, nos sentimos honrados de recibir todas las contribuciones de la comunidad de investigación de seguridad. Nos hemos asociado con una comunidad de investigadores y en breve anunciaremos un programa de recompensas en el que, como organización transparente y responsable, también premiaremos a los investigadores por sus contribuciones. ", declaró la compañía.
A partir de septiembre de este año, Truecaller tiene más de 150 millones de usuarios activos diarios a nivel mundial. La aplicación Truecaller también a principios de este año cruzó la marca de 500 millones de descargas y superó el hito de un millón de suscriptores Premium en todo el mundo.
Truecaller es muy popular por su identificador de llamadas y funciones de bloqueo de llamadas. Sin embargo, la aplicación ofrece soporte de llamadas de voz basadas en el Protocolo de Voz sobre Internet (VoIP) y un servicio de pagos impulsado por UPI para contrarrestar WhatsApp. Truecaller en abril también se unió a RedBus, con sede en Bengaluru, para comenzar a ofrecer el servicio de reserva de boletos de autobús a sus usuarios en India.