Truecaller—— 瑞典公司，主要通过收集号码簿以及利用众包(用户提供个人通信录)的方式来收集和归类各种号码，然后提供陌生来电识别标注、营销电话拦截以及联系人管理、黄页查询等功能，同时还与 Yelp、Twitter 等社交工具进行连接，号称要成为 “黄页中的 Google”。拥有 1.5 亿用户，其中 8000 万来自新兴大国印度。

安卓用户请尽快去更新

近日，某安全研究实验室的安全研究人员发现呼叫管理应用程序Truecaller存在严重漏洞。

该漏洞允许任何人窃取Truecaller用户的敏感信息，为攻击者实施攻击提供条件。总体来说，一亿多已在智能手机上下载该应用程序的Android用户正处于危险之中。

研究人员发现，Truecaller使用设备的IMEI作为其用户的唯一身份认证标签。这意味着任何人只要获得了设备的IMEI就能得到Truecaller用户的个人信息(包括电话号码、家庭地址、邮箱、性别等)，并且在没有用户的同意下，可以任意篡改用户的APP设置，将真正的用户暴露于恶意钓鱼者的威胁下。
 

 

通过利用这个漏洞，攻击者可以：

窃取用户个人信息，如账户姓名、性别、电子邮件、个人档案相片、家庭住址等;

修改用户的APP设置;

禁用垃圾邮件拦截器;

为用户添加黑名单;

删除用户的黑名单等。

虽然，在最新的版本中该漏洞已被修复，但是没有更新最新版本的广大用户仍然处于危险之中。CM安全研究实验室的专家建议Truecaller用户尽快将该应用程序升级到最新版本。

(责任编辑：腰编辑)