TrueCaller: Tenga cuidado con quién llama usted

por el | 4 de mayo de 2016

Los teléfonos inteligentes son omnipresentes. La gente camina con ellos para divertirse, los usa de camino al trabajo y a menudo durante el trabajo mientras mira el pequeño monitor en nuestras vidas. Los fines de semana, personas de todas las edades van de compras al centro comercial, consultan el correo electrónico y los precios de los productos de la competencia y utilizan las redes sociales. Esto no está limitado por la ubicación o la edad, con los preadolescentes y los ancianos, y todo el mundo en el medio utilizando los teléfonos inteligentes para mantenerse conectado en todo el país.
No todos los teléfonos inteligentes se fabrican igual. Los teléfonos inteligentes que se utilizan se dividen en dos campos principales: Android y iPhone. Hay otras plataformas, pero en general no son actores importantes. Los teléfonos inteligentes, al igual que los ordenadores, ofrecen una oportunidad más para que los hackers ataquen y aprovechen la información para que aquellos con intenciones maliciosas puedan hacer caja.
La plataforma de Apple no ha sido históricamente un semillero de vulnerabilidades. En los últimos años sólo se han detectado un puñado de ejemplos de malware relacionados con Apple. Esto no es significativo si se compara con los teléfonos Android. Los teléfonos inteligentes Android han sido con el tiempo un objetivo principal de los ataques. Uno de ellos recientemente ha sido TrueCaller.
Descripción
TrueCaller es un servicio que permite a las personas buscar números de teléfono, bloquear las llamadas entrantes y los mensajes de texto de los números seleccionados. También se utiliza para los spammers, telemarketers y para conectar con los amigos. Cuando se encontró por primera vez, esta vulnerabilidad se etiquetó con una gravedad media, pero se actualizó a crítica cuando se descubrió un día cero.
Ataque
El ataque en sí explota el proceso de TrueCaller. TrueCaller utiliza el IMEI (International Mobile Station Equipment Identity) del teléfono específico. Esto es comparable a nuestro número de seguridad social. Cada IMEI es único. Si el atacante conoce el IMEI del teléfono de destino, podría conseguir una gran cantidad de información sobre el número de teléfono de la otra parte, su dirección, su buzón de correo, su sexo, etc. La vulnerabilidad también permite al atacante modificar la configuración, desactivar los ajustes de spam y añadir/eliminar listas negras. Esto puede ser bastante desastroso para el usuario si se explota.
Mitigaciones
Aunque esto puede hacer la vida del usuario bastante interesante, hay algunos pasos que el usuario puede tomar para disminuir la posibilidad de que esto afecte al usuario. El 16 de marzo de 2016 se publicó un parche. El usuario debe instalar la versión actualizada de la aplicación. La aplicación actualizada también tendría el código para solucionar el problema.

 

Android, a diferencia de la plataforma de Apple, es un objetivo permanente para que los hackers lo manipulen. El parche para TrueCaller puede aliviar esa vulnerabilidad en particular, pero los usuarios de la plataforma deben ser conscientes de que cada vez que buscan descargar una aplicación corren el riesgo de obtener una pieza de codificación maliciosa que puede ser muy preocupante.

 

Para saber más sobre cómo protegerse a sí mismo y a su empresa, visite el Instituto Nacional de Ciberseguridad y conozca nuestros programas de formación, preparación para la certificación y muchos recursos gratuitos.

 

Charles Parker, II, lleva codificando desde mediados de los años 80, y lleva más de 17 años trabajando en los sectores de las finanzas, los fabricantes de automóviles y la sanidad buscando soluciones seguras para los problemas. Charles tiene un MBA, un MSA, un JD, un LLM, y es candidato a un doctorado en Garantía y Seguridad de la Información.