De Android-versie van de populaire app Truecaller gaf toegang tot de gegevens van zijn gebruikers. De app, die het onder andere mogelijk maakt om binnenkomende oproepen te identificeren, is meer dan honderd miljoen keer voor dat platform gedownload. 

De kwetsbaarheid stelt een aanvaller volgens de beveiligingsonderzoekers van Cheetah Mobile in staat om via het imei-nummer van de gebruiker toegang te verkrijgen tot gegevens als naam, geslacht, e-mailadres en thuisadres. Ook kan een aanvaller instellingen veranderen, zoals het uitschakelen van spamblokkades en het aanpassen van de blokkeerlijst.

De kwetsbaarheid komt voort uit het feit dat Truecaller het imei-nummer van een mobiele telefoon inzet om gebruikers te identificeren. Het achterhalen van een imei-nummer is bijvoorbeeld mogelijk door de inzet van andere malware. Door het Truecaller-lek kan zo een verband worden gelegd tussen dat nummer en een gebruiker.

De ontwikkelaars van de app hebben op 22 maart een patch uitgebracht, de nieuwe versie is via de Play Store beschikbaar. Het wordt gebruikers dan ook aangeraden om een update uit te voeren. De onderzoekers hebben aan Softpedia laten weten dat zij nog onderzoeken of er ook een kwetsbaarheid in de iOS-versie van de app zit.

Alles bij de bron; Tweakers