Truecaller앱에 1억대의 안드로이드 기기에 영향을 줄 수 있는 원격코드실행 취약점 존재

Truecaller 앱에 1억대의 안드로이드 기기에 영향을 줄 수 있는 원격코드실행 취약점 존재

Remotely Exploitable Flaw in Truecaller Leaves 100 Million Android Devices Vulnerable

Truecaller는 덴마크 회사가 개발한 앱으로, 전호번호부 및 크라우드소싱을 통하여 구축된 DB를 통하여 스팸, 광고 등의 전화들을 필터링 해주는 앱입니다. 약 1.5억명의 사용자를 보유하고 있으며, 그 중 8000만명의 사용자가 인도에 있습니다. 

최근, Cheetah 보안연구소는 Truecaller 에서 원격코드실행 취약점을 발견하였습니다. 공격자가 해당 취약점을 이용하면 Truecaller 사용자의 민감한 정보를 탈취할 수 있습니다. 즉, 약 1억명의 해당 앱 사용자가 위험에 처한것 입니다. 

연구원들은 Truecaller가 사용하는 IMEI를 유일한 개인 식별 정보로 사용하는 것을 발견하였습니다. 이는 즉, 공격자가 사용자의 IMEI만 알아낸다면, IMEI를 통하여 Truecaller 사용자의 정보(전화번호, 주소, 이메일 주소 등)를 얻고, 사용자의 동의 없이 사용자의 APP 설정을 바꿔 사용자가 피싱의 위협에 처하게 할 수 있다는 말 입니다. 

해당 취약점을 이용하면, 공격자는 다음과 같은 행위를 할 수 있습니다. 

- 개인정보 탈취 예) 이름, 성별, 이메일, 사진 등

- 앱 설정 변경

- 스팸문자 차단 해제

- 특정 사용자 블랙리스트에 추가

- 블랙리스트 삭제 등

Cheetah 보안연구원들은 해당 취약점을 발견하자마자 Truecaller에 해당 취약점을 보고하였으며, Truecaller는 해당 취약점을 패치한 버전을 3월 22일에 공개하였습니다. 

참고 : 

http://securityaffairs.co/wordpress/45701/hacking/truecaller-remotely-exploitable-flaw.html