مجلة عالم التكنولوجيا
مجلة تكنولوجية شاملة

“تروكولر” يعمل علي إصلاح خلل قد يهدد المستخدمين


يعمل “تروكولر” على إصلاح الخلل الذي قد يسمح للمهاجمين بالحصول علي عناوين (IP) وبيانات المستخدم الأخرى. لذا قام “تروكولر” بإصلاح خلل قد يسمح للمهاجمين باستخدام واجهة برمجة التطبيقات الخاصة بالخدمة لوضع رابط ضار كعنوان (URL) لصورة ملفهم الشخصي. 


ويمكن استخدام الرابط الضار لجلب عناوين (IP) لمستخدمي “التروكولر” الخاص بالآخرين وتنفيذ هجمات، وذلك بناءً على المعلومات التي تم الحصول عليها. 


الخلل كان موجودًا في أحد واجهات برمجة تطبيقات “تروكولر” التي سمحت للمهاجمين بوضع روابطهم الضارة كعنوان (URL) لصورة الملف الشخصي. 


اكتشف باحث الأمن في بنغالورو، “إراز أحمد” عيب “تروكولر” وأظهر دليلاً على ذلك؛ حيث يمكن للمهاجمين الاستفادة من الخلل بجلب عناوين (IP) للمستخدمين والحصول على مواقعهم بصمت وكذلك تفاصيل الجهاز. ونظرًا لأنه كان عيبًا في واجهة برمجة التطبيقات، يمكن الوصول إليه من خلال جميع إصدارات “تروكولر”، بما في ذلك أندرويد و iOS والويب.


وبمجرد الحصول على عنوان (IP) وبيانات المستخدم الأخرى من خلال الخلل، يمكن للمهاجم التأكد من تفاصيل الموقع لتتبع المستخدمين الذين يشاهدون ملفاتهم الشخصية، ويمكن أيضًا استغلال الثغرة الأمنية للبحث عن المنافذ المفتوحة بعد الوصول إلى عناوين (IP) لتنفيذ هجمات القوة الغاشمة و (DDoS).


قال ” إراز أحمد “: “عندما يقوم المستخدم بعرض ملف تعريف المهاجم على Truecaller، إما عن طريق البحث أو النقر على المنبثقة من مكالمة، يتم تنفيذ البرنامج النصي المخصص ويتم تسجيل عنوان IP الخاص بالمستخدم، مضيفًا أن المستخدم لن يلاحظ أي فرق حيث لا يتم عرض عنوان URL للملف الشخصي بشكل عام”.


ولإعادة إنتاج الخلل، قام “أحمد” بتطوير (PoC) يوضح عملية تسجيل عناوين IP للمستخدمين في ملف السجل. يعمل نص PHP المخصص الذي يستخدمه الباحث الأمني ​​مع كل من عناوين IP المستندة إلى IPv4 و IPv6.وفي حالة ما إذا كان المستخدم يبحث عن ملف تعريف Truecaller من الكمبيوتر، فإن الخلل قد يتيح للمهاجم معرفة تفاصيل المتصفح. 


ولعرض مدى الخلل الموجود في Truecaller ، قام أحمد بإنشاء مقطع فيديو ونشر دراسة حالة.


وقد ذكر ” Truecaller”: “لقد تم لفت انتباهنا مؤخرًا إلى وجود خطأ صغير في خدمات التطبيق لدينا، مما سمح بتعديل ملفه الشخصي بطريقة غير مقصودة.” إلى إشعارنا والتعاون معنا. تم إصلاح الخلل على الفور. “


كما كشف “تروكولر” أيضًا أنه من المقرر إطلاق برنامج مكافآت الأخطاء، لمكافأة الباحثين في مجال الأمن الذين يبلغون عن عيوب في نظامه في المستقبل، بالإضافة إلي الترحيب بجميع المساهمات من مجتمع البحوث الأمنية. 


وأضافت الشركة “لقد عقدنا شراكة مع مجتمع من الباحثين وسنعلن قريبًا عن برنامج فضل حيث أننا، كمنظمة شفافة ومسؤولة سنكافئ أيضًا الباحثين على مساهماتهم “.


واعتبارًا من شهر سبتمبر من هذا العام، أصبح لدى ” Truecaller” أكثر من 150 مليون مستخدم نشط يوميًا على مستوى العالم. تخطى تطبيق Truecaller في وقت سابق من هذا العام علامة 500 مليون تحميل وتجاوز علامة فارقة من مليون مشترك بريميوم في جميع أنحاء العالم.


يذكر أن ” Truecaller” مشهور كدليل لمعرفة المتصل وميزات حظر المكالمات. وعلي الرغم من ذلك، فإن التطبيق يوفر دعمًا للاتصال الصوتي عبر بروتوكول الإنترنت (VoIP) وخدمة دفع مدعومة من قبل (UPI) لمواجهة “Whatsapp”.


بعد قراءة الموضوع يمكنك معرفة المزيد عن الكلمات الآتية:


5G Apple Google iPhone oppo آبل أبل أمازون أمن المعلومات أندرويد إنترنت الأشياء إيلون ماسك الأمن السيبراني الإنترنت البطارية البيانات التكنولوجيا الذكاء الاصطناعي الروبوتات الزراعة السيارات الكهربائية الصين الطاقة الفضاء المدن الذكية المملكة المملكة العربية السعودية الهواتف الذكية تطبيق تطبيقات تقنية تويتر تيسلا جوجل سامسونج سيارة عالم التكنولوجيا فيروس كورونا فيسبوك كاسبرسكي كورونا مايكروسوفت ناسا هاتف هواوي


الرابط المختصر :
close

مرحبا 👋

سعداء بالتواصل معكم
قم بالتسجيل ليصلك كل جديد

نحن لا نرسل البريد العشوائي! اقرأ سياسة الخصوصية الخاصة بنا لمزيد من المعلومات.

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.