来源: 时间:2023-03-09 10:35:04
Truecaller最近推出了Guardians应用程序,这是一种安全工具,可让用户将其位置实时或实时共享给所选联系人。该应用程序旨在帮助用户提高安全性,以便他们信任的人在任何给定的时间点都有自己的下落。
但是,pingSafe最近的一份报告表明,攻击者可以使用Truecaller的Guardians应用程序来跟踪某人的实时位置,以及其他详细信息,例如个人资料图片,出生日期和紧急联系人。报告指出,该漏洞存在于《卫报》应用程序中的 “使用Truecaller登录” 选项中。Truecaller已解决此问题,并添加了报告。
“通过拦截登录ApI请求,攻击者可以将“ 数字 ”参数更改为受害者的号码,将所有其他参数的值保留到他们的并转发ApI请求。ApI在响应标头中使用受害者的有效访问令牌进行响应,“该报告共享。
正确执行攻击后,攻击者将登录受害者的帐户,并可以访问受害者的所有信息。然后,攻击者可以将更多 “受信任” 的成员添加到帐户中,这些成员现在可以访问受害者的位置,以及受害者实际选择的其他联系人。
该报告补充说,该问题已于3月4日报告给Truecaller,该公司在同一天承认了该漏洞。到3月6日,Truecaller团队已解决了该问题,并且这种攻击方法现在应该不再起作用。
“即使经过严格的安全评估,公司也往往会错过这些基本问题。这些问题的影响是巨大的,影响了客户的隐私,并导致公司的收入损失,“报告补充道。
相关推荐
猜你喜欢
