Más de 100 millones de teléfonos Android en peligro por TrueCaller

0

Más de 100 millones de dispositivos Android son vulnerables mientras lees estas líneas. ¿Vulnerables a qué? Nada menos que a ataques de robo de identidad mediante Phishing, debido a una vulnerabilidad de una app de terceros (no de Google) denominada TrueCaller, que gestiona las llamadas del teléfono.

Truecaller

A Cheeta Mobile le debemos el descubrimiento de la vulnerabilidad TrueCaller Android, aquí analizan el fallo y como se roba la información de los usuarios, lo que abre la puerta a futuros ataques y espionaje en el equipo.

¿Qués es TrueCaller?

Truecaller es un servicio de Android, también disponible en otras plataformas como Symbian o iOS, BlackBerry, etc. Habilita la búsqueda de números de teléfono por parte del usuario, bloqueo de mensajes de texto entrantes/salientes o gestiona la comunicación con nuestros contactos. Estas apps son útiles para evitar a los spammers y comerciales molestos, pero tienen cierto poder sobre el teléfono y, si son vulnerables, nos darán algún que otro susto.

¿Qué hace peligroso a TrueCaller actualmente?

Este problema de seguridad de la app viene por cómo TrueCaller autentica a los usuarios, según explican dede Cheetah mobile:

El investigador encontró que TrueCaller utiliza el IMEI con la única huella de identidad de los usuarios. Esto quiere decir que cualquiera que se haga con el IMEI de nuestro dispositivo, será capaz de ver la información personas de los usuarios de la app y así copiar los ajustes sin su consentimiento, exponiéndolos a ataques de Phishing.

Es decir, se harían sin esfuerzo con datos importantes del usuario: email, dirección, sexo, etc.

Vulnerabilidad en Truecaller

El IMEI es una cadena de 15 dígitos numéricos, impreso comúnmente dentro del compartimento de la batería del teléfono. Pero resutla que también es accesible desde el sistema y enviando una llamada al número *#06# en el teclado. Los investigadores advierten de que un atacante podría, con el IMEI en su poder, robar la información personal, modificar los ajustes del usuario, retirar el bloqueo de Spam y/o añadir o quitar listas negras.

Conclusiones

Por el momento, no parece que se haya comprometido información de usuarios de forma importante, pero hay que estar alerta. TrueCaller ha publicado un parche correctivo rápidamente, pero la gran mayoría de usuarios aún no tiene acceso al paquete, toca esperar. Quizá no te afecte esta vez, pero conviene saber que estas cosas pasan con las apps pensadas para “facilitarte la vida”.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR