Truecaller è un servizio Internet che indicizza un’enorme quantità di numeri di telefono, classificandoli e permettendo a chi installa l’apposita applicazione di riconoscere il chiamante anche se non è presente nella rubrica personale. I ricercatori di Cheetah Mobile Security Research Lab hanno scoperto ha vulnerabilità che metterebbe a rischio i dati di milioni di utenti registrati al servizio.

In particolare si tratterebbe di utenti che utilizzano l’applicazione Android, che era affetta da una vulnerabilità sfruttabile da un malintenzionato per accedere ai dati personali degli utenti. Al primo utilizzo Truecaller richiede il numero di telefono ed una serie di dati, che vengono abbinati al codice IMEI dello smartphone ed utilizzati per i successivi accessi.

Cheetah Mobile ha dimostrato come con un codice costruito ad-hoc sia possibile accedere al server di Truecaller e, tramite l’IMEI, ai dati personali degli utenti, con la possibilità di modificare la black-list, disabilitare i filtri anti-spam o semplicemente di aggiungere il numero di cellulare ad una lista di contatti a cui inviare messaggi promozionali.

Truecaller è ovviamente stata messa al corrente del problema ed ha già provveduto a correggere la vulnerabilità sia sui propri server sia con un aggiornamento dell’applicazione, avvenuto la scorsa settimana. Se utilizzate questa applicazione i vostri dati dovrebbero essere al sicuro, anche se Truecaller non ha ancora rilasciato comunicati ufficiali sulla possibilità che i dati presenti nei propri server siano finiti in mano ad eventuali malintenzionati.

Via