Lek in Truecaller-app gaf toegang tot gegevens van miljoenen Android-gebruikers

De Android-versie van de populaire app Truecaller gaf toegang tot de gegevens van zijn gebruikers. De app, die het onder andere mogelijk maakt om binnenkomende oproepen te identificeren, is meer dan honderd miljoen keer voor dat platform gedownload. Er is inmiddels een patch uitgebracht.

De kwetsbaarheid stelt een aanvaller volgens de beveiligingsonderzoekers van Cheetah Mobile in staat om via het imei-nummer van de gebruiker toegang te verkrijgen tot gegevens als naam, geslacht, e-mailadres en thuisadres. Ook kan een aanvaller instellingen veranderen, zoals het uitschakelen van spamblokkades en het aanpassen van de blokkeerlijst. Truecaller meldt dat kwaadwillenden geen misbruik hebben gemaakt van de kwetsbaarheid.

De kwetsbaarheid komt voort uit het feit dat Truecaller het imei-nummer van een mobiele telefoon inzet om gebruikers te identificeren. Daardoor zou elke aanvaller die in bezit is van dat nummer de gegevens kunnen opvragen. Er wordt niet beschreven welke techniek hiervoor precies gebruikt kon worden. Het achterhalen van een imei-nummer is bijvoorbeeld mogelijk door de inzet van andere malware. Door het Truecaller-lek kan zo een verband worden gelegd tussen dat nummer en een gebruiker.

De ontwikkelaars van de app hebben op 22 maart een patch uitgebracht, de nieuwe versie is via de Play Store beschikbaar. Het wordt gebruikers dan ook aangeraden om een update uit te voeren. De onderzoekers hebben aan Softpedia laten weten dat zij nog onderzoeken of er ook een kwetsbaarheid in de iOS-versie van de app zit.

IT-banen

Reacties (46)

rens-br Forum Admin IN & Moderator Mobile 29 maart 2016 09:30

Ben blij dat ze deze bug hebben ontdekt en dat het meteen is opgelost. Het aantal installaties zal overigens veel hoger uitvallen, aangezien Truecaller meegeleverd wordt op in ieder geval de OnePlus One en mogeijk ook op de 2 en X.

Ik ben benieuwd of die versies ook geupdated zijn en of dit nodig is.

Ossi @rens-br • 29 maart 2016 09:32

Het was ook zo'n beetje de eerste app die ik uitschakelde op mijn OPO.
Wat een onzinnige app

rens-br Forum Admin IN & Moderator Mobile @Ossi • 29 maart 2016 09:34

Persoonlijk vind ik niks onzinnigs aan de app, maar vind ik hem juist uitermate handig.

Ik wordt heel vaak gebeld door 'vreemde' telefoonnummers en Truecaller weet er in minimaal 80% van de tijd toch een goede (bedrijfs)naam van te maken. Ideaal al zeg ik het zelf!

binbash. @rens-br • 29 maart 2016 09:49

Of je neemt gewoon niet op. Bel me niet register werkt ook goed. Nummer ff in de google.

Caller ID checkers, followers stats op twitter apps, Facebook stats apps. Dit soort apps vind ik eigenlijk altijd dubieus. En er wordt ook enorm vaak mee gerotzooid. Dast blijkt ook nu maar weer.

xleeuwx @binbash. • 29 maart 2016 09:54

Heel vervelend als je een eigen bedrijf hebt. Dan kan je dus potentieel klanten missen doordat ik een onbekend nummer dus niet opneem.

[Reactie gewijzigd door xleeuwx op 22 juli 2024 15:10]

binbash. @xleeuwx • 29 maart 2016 10:20

Goed punt, maar dan is het zakelijk. Sowieso ben ik zo'n aso: Als het me niet bevalt hang ik meteen op. Geen pardon, sorry, geen tijd. Gewoon klik !

watercoolertje @binbash. • 29 maart 2016 11:17

Dat is niet aso, mensen die je lastig vallen zijn aso

Op mijn prive telefoon worden automatisch alle geheime nummers geblokkeerd, en onbekende nummers neem ik vrijwel nooit op, tenzij ik wat verwacht.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 15:10]

Anoniem: 80487 @watercoolertje • 29 maart 2016 18:32

Dat is niet aso, mensen die je lastig vallen zijn aso

Zonder een waardeoordeel aan marketingtelefoontjes te plakken vind ik je best wel een raar figuur als je gewoon ophangt.

Uiteindelijk heb je linksom of rechtsom vast wel ergens aangegeven dat iemand je mag bellen dus een reservering zo links en rechts voordat je je als totaalhork opsteld lijkt me denk ik niet heel raar.

Als voor geen andere reden dan dat men wettelijk verplicht is uit te schrijven voor telefonische benadering, per je verzoek.
Als je ophangt bellen ze je later gewoon nog een keer. Niet productief als je niet lastig gevallen wil worden.

[Reactie gewijzigd door Anoniem: 80487 op 22 juli 2024 15:10]

raro007 @watercoolertje • 29 maart 2016 12:20

maar dat is ook niet een optie als een vriend/familie lid via geheim nummer bellen.
ik woord bijvoorbeeld door mijn zus gebeld via een geheim nummer van het werk.
en er zijn zat mensen die via zo'n nummer bellen.

raro007 @The Zep Man • 29 maart 2016 16:14

Waarom zijn bananen krom? Daarom en wie ben ik om haar te verbieden. Iets met aso gedrag?

Anoniem: 463321 @xleeuwx • 29 maart 2016 09:59

Wat is er vervelend aan? Als ik niets met jouw bedrijf te maken heb hoef ik er ook niet door gebeld te worden.

xleeuwx @Anoniem: 463321 • 29 maart 2016 10:01

Ik bedoelde eigelijk eerder als ik een eigen bedrijf heb moet ik al mijn telefoontjes opnemen

dus kan ik niet even zeggen ow dat nummer ken ik niet dus neem ik niet op.

rens-br Forum Admin IN & Moderator Mobile @binbash. • 29 maart 2016 10:02

Ik ben het inderdaad met je eens dat dit weer een app erbij is die gegevens opslaat. In dit geval een telefoonnummer gekoppeld aan een naam (en als ik het artikel lees, blijkbaar ook het IMEI nummer). Dubieus vind ik echter niet het goede woord, er staat in de voorwaarde altijd duidelijk vermeld wat er met de gegevens gebeurd.
Ben je het hier niet mee eens, gebruik de dienst dan eenvoudig niet.

Verder is het voor iemand met een eigen bedrijf en veel vrijwilligerswerk onmogelijk om alle telefoontjes maar eenvoudig weg te drukken en daarna te gaan kijken via Google wie mij gebeld heeft.

Buiten het feit om dat er bij mobiele telefoonnummers 9/10 keer geen naam te voorschijn komt via Google, terwijl dit via Truecaller vaak wel het geval is. Is dit gewoon niet te doen.

leuk_he @rens-br • 30 maart 2016 11:01

Nee hoor: in de voorwaarden staat ". Truecaller also uses this information to provide you with tailored content, such as search results and advertisements more relevant to You." lekker vaag, totdat je merkt dat de reclame heel gericht wordt.

dutchgio @rens-br • 29 maart 2016 09:43

Google kan dat ook. Als je de stock(aosp) dialer hebt kun je dat in de instellingen daarvan aanzetten.

Armin

Netwerk en systeembeheer
Security

@rens-br • 30 maart 2016 05:29

Probleem van deze app is dat het het telefoonnummer gebruikt. Echter dat kan gespoofed woren via VoIP. Er zijn talloze diensten voor, die voor sommige legale, maar ook heel vaak voor 'minder legale' doeleinden gebruikt kunnen worden.

Ofwel TrueCaller gebruikt het inkomende nummer blind om de beller te identificeren. Criminelen krijgen het op een presenteerblaadje aangereikt.

"Ah een belletje van ING Bank". In werkelijkheid van een stel criminelen uit het Carabisch gebied $_/-\o_$

Nu is deze vorm van criminaliteit vrij zeldzaam in Nederland, maar in de USA bijvoorbeeld schering en inslag.

Onbekende nummers gaan gewoon naar 100% naar voicemail bij mij. Dan kunnen ze daar uitleggen wat ze wilden, en welk nummer. En dan bel ik daarna het officiele nummer van het bedrijf en niet wat opgegeven in de vocie mail als ik behoefte aan terugbellen heb.

geerttttt @Ossi • 29 maart 2016 09:46

Euum, maar android heeft dit zelf toch al ongeveer? Elk telefoonnummer welke in google staat als bedrijf of organisatie wordt al herkend. En bij elk ander telefoonnummer zie je in ieder geval welk land of woonplaats eraan vast zit.

rens-br Forum Admin IN & Moderator Mobile @geerttttt • 29 maart 2016 10:13

Android heeft dat inderdaad 'ongeveer'.

Bij bedrijven en organisaties wordt er inderdaad een bedrijfsnaam getoond(1), bij huistelefoonnummers een plaats(2) (die is niet altijd correct, het voorvoegsel van ons telefoonnummer is gedeeld over 4 woonplaatsen), maar mobiele telefoonnummers wordt niks mee gedaan(3).

Truecaller heeft optie (1) ook, optie (2) en (3) werken anders. Truecaller houdt een database bij van gebruikers wie hun telefoonnummer gekoppeld heeft in combinatie met hun naam. Wordt ik dus gebeld door iemand die ook Truecaller gebruikt, krijg ik bij het telefoonnummer meteen een naam te zien. In het geval van mobiele telefoonnummers is dat dus echt een uitkomst.

watercoolertje @rens-br • 29 maart 2016 11:20

Dus als je mensen lastig wilt vallen door tijdens etenstijd te bellen dan installeer je die app gewoon niet en ben je ook niet opgenomen in de database? Of is er een externe manier van bedrijven toevoegen?

rens-br Forum Admin IN & Moderator Mobile @watercoolertje • 29 maart 2016 11:22

Dus als je mensen lastig wilt vallen door tijdens etenstijd te bellen dan installeer je die app gewoon niet en ben je ook niet opgenomen in de database?

Wat bedoel je hiermee?

watercoolertje @rens-br • 29 maart 2016 11:25

JIj zegt dat je nummer opgenomen word in die database nadat je de app installeert, als iemand dus niet in die database wilt komen dan installeer je de app toch niet? En bel je nog steeds naamloos, als ik het goed begrijp

rens-br Forum Admin IN & Moderator Mobile @watercoolertje • 29 maart 2016 11:27

Dat is inderdaad correct. Ook op toestellen waar het meegeleverd wordt, moet je eerst toestemming geven aan de app voor het delen van je telefoonnummer. Als je dit weigert wordt de app uitgeschakeld en wordt je nummer niet gedeeld.

Bor Coördinator Frontpage Admins / FP Powermod

Security

@watercoolertje • 29 maart 2016 11:54

Zo zwart wit is het niet. In veel gevallen wordt er informatie over jezelf verwerkt;

Where the User registers a user profile in the Truecaller Apps and via SMS or inbound call verification confirms being the holder of a certain number, the information up-loaded to the profile section of the Truecaller Apps will be received and stored by Truecaller until the User changes or deletes such data or terminates the Services. Compulsory information when creating a profile page is the User’s first name, last name and phone number and additional information that may be provided at the User’s option include, but is not limited to, photo, gender, street address and zip code, country of residence, email address, professional website, Facebook page, Twitter address and a short status message. Truecaller may supplement the information provided or collected with information from third parties and add it to information provided by You. For example, collection and use of demographic information that is publicly available and additional contact information as allowed by applicable national laws.

Maar... ook het verwerken van door derden ingevoerde informatie is mogelijk;

Where the Truecaller Apps are obtained from other sources than Apple App Store or Google Play, You may share the names, numbers and email addresses contained in Your device’s address book (“Contact Information”) with Truecaller for the purpose described below under Enhanced Search. If you provide us with personal information about someone else, you confirm that they are aware that You have provided their data and that they consent to our processing of their data according to our Privacy Policy.

Bron; TrueCaller Privacy Policy

Je hebt dus zo te lezen niet in alle gevallen invloed op de informatie die over jou wordt verwerkt.

[Reactie gewijzigd door Bor op 22 juli 2024 15:10]

Avdo @Ossi • 29 maart 2016 09:35

In Nederland hebben we gelukkig het belmenietregister.... Helaas kan ik je vertellen dat in veel andere landen, o.a. VS dit niet bestaat, en je regelmatig gebeld wordt door geautomatiseerde verkoopsystemen, wat je ook nog geld kan kosten. Geweldige app om dit soort spam tegen te gaan.

loki504 @Avdo • 29 maart 2016 09:46

En ook het belmijnietregister is niet helemaal 100%

https://www.bel-me-niet.nl/vragen/overige-vragen

Waarom word ik, ondanks mijn inschrijving in het Bel-me-niet Register, toch nog telefonisch benaderd door bedrijven?(uitgeklapte vraag)

Na uw inschrijving kan het soms gebeuren dat u nog wordt gebeld. In de volgende vier situaties kunt u, ondanks uw inschrijving in het Bel-me-niet Register, toch nog telefonisch benaderd worden:
Verwerkingstijd inschrijving
Klant of klant geweest van het bedrijf of organisatie
Gevraagd om te bellen
Marktonderzoek

en juist door die bedrijven wil ik niet meer gebeld worden. ik ken ze immers al. en ben daar 9/10 keer weg gegaan met een reden.

Armin

Netwerk en systeembeheer
Security

@Avdo • 30 maart 2016 05:40

Helaas kan ik je vertellen dat in veel andere landen, o.a. VS dit niet bestaat,

Ook de USA kent zo'n register, met aanzienlijk zwaardere straffen en bovendien anders dan in NL daadwerkelijke naleving bij klachten.

Probleem in de USA is dat criminelen zich per definitie niet aan de wet houden. Je spooft dus gewoon je nummer en belt met een VoIP of andere vergelijkbare dienst. Dat is wel schering en inslag in de USA. Dus je krijgt een telefoontje van "carpet cleaning" uit New York, maar in werkelijkheid is het niet het New York bedrijf dat jouw belt ondanks inschrijving in het register, maar een stel drugscriminelen (niet verzonnen, het zijn vaak die netwerken) uit het Caribisch gebied.

Providers - ook in Nederland - doen vrijwel niets aan deze spoofing omdat ze geld verdienen aan de koppeling. Immers deze VoIP diensten betalen de KPN en AT&T van deze wereld voor elk doorgezonden gesprek.

en je regelmatig gebeld wordt door geautomatiseerde verkoopsystemen, wat je ook nog geld kan kosten

Dat was vroeger zo, maar tegenwoordig zijn belminuten in de USA zo goed als onbeperkt bij elk abbonement.

Om die reden zijn spam-SMS nu in de USA wel bijna uitgebannen. Vroeger betaalde je als ontvanger ook in de USA en was spam niet tegenhouden dus lucratief. Anders dan bij bellen wordt er echter weinig verdient aan het doorsluizen van SMS'en van semi-criminele diensten. Dus dat is nu geblokerd door de providers, nu SMS onbeperkt is in elk abbonement van budget tot high-end. Vroeger kreeg ik op mijn Amerikaanse telefoon nog wel eens SMS-spam, maar nu dus niet meer.

Oplichtings belletjes echter zeker zo'n 1 keer per week. Maar die neem je dan gewoon niet op. Kost mij dus niets, maar is enkel reteheel irritant.

TrueCaller help niet aangezien die geen toegang heeft tot de werkelijke afzender, maar enkel het vervalste telefoonnummer dat jij ziet op je display. Enkel de providers hebben toegang tot die low level interconnects.

Avdo @Armin • 30 maart 2016 07:59

In het afgelopen jaar heb ik 7 maanden in de VS doorgebracht. Mijn ervaring is dat het wel degelijk vrij goed werkt; In de eerste maanden had ik geen TrueCaller, en nam ik regelmatig de telefoon op voor verzekeringsmaatschappijen, luchtvaartmaatschappijen, en wat niet. Ik kon 1..2..3.. geen belmenietregister vinden.

Later ben ik overgegaan op een zogenaamd 2-dollar per day pakket, wat betekent dat ik 2 dollar betaal indien ik een telefoongesprek voer (ook als ik gebeld word) of SMS verstuur - dit was goedkoper dan een volledig pakket, aangezien ik hoofdzakelijk geïnteresseerd was in data, maar dat terzijde. Toevallig kwam ik de app tegen, en deze heeft vrijwel alle reclamegesprekken gedetecteerd (me name Banken, Verzekeringen, Luchtvaartmaatschappijen).

Sterker nog, een vriendin van me werd om een of andere reden meerdere malen per dag gebeld (echt bizar) door nummers uit eenzelfde range - allemaal dezelfde reclame onzin. TrueCaller zorgde eindelijk voor wat rust op haar telefoon.

Al met al: Ik begrijp je verhaal, desalniettemin is mijn ervaring dat de app daadwerkelijk goed werkt

skai21 @Ossi • 29 maart 2016 09:43

Onzinning vind ik hem absoluut niet, werkt nog best goed ook

Echter was heb ik hem wel uitstaan omdat mijn Caller omgeveer om de 2 inkomende gesprekken crashte

robinvanesch @Ossi • 29 maart 2016 09:44

Ik had hem ook uitgeschakeld, om een of andere reden wat ik ook deed bleef hij crashen en buggen. Hij is mogelijk makkelijk voor handelaren etc. maar voor de gewone mens die vrijwel alleen gebeld wordt door mensen die hij/zij ook kent vindt ik het ook wat onzinnig.

alaintje @rens-br • 29 maart 2016 09:48

Hoe wordt deze nu geupdate? Ik gebruik de truecaller van de opo maar kan deze njet bijwerken via de playstore...

rens-br Forum Admin IN & Moderator Mobile @alaintje • 29 maart 2016 10:04

Dat vroeg ik me dus inderdaad ook al af. Ik was al aan het kijken welke Truecaller versie er momenteel op staat, maar zelfs dat is niet te zien.

De reden dat de meegeleverde versie niet kan worden geupdated, is omdat deze geïntegreerd zit in de Dialer van CM. Terwijl de versie in de Play Store een eigen Dialer is.

Op het OnePlus forum is er in ieder geval nog geen woord over gerept en ook op het Cyanogen forum valt er niks over te lezen.

[Reactie gewijzigd door rens-br op 22 juli 2024 15:10]

DarkSide @rens-br • 29 maart 2016 12:04

Ik heb ook al lopen zoeken. Maar helaas nog niets te vinden bij Oneplus.
De vraag is dan ook wanneer dit opgepakt gaat worden?
Want de functionaliteit vindt ik zelf wel handig omdat idd 70-80% van onbekende nummers herkend worden

rens-br Forum Admin IN & Moderator Mobile @DarkSide • 29 maart 2016 12:16

Ik zal eens een topic aanmaken op het OnePlus forum, eens kijken of iemand er iets zinnigs over kan zeggen.

Al verwacht ik dat ik op het Cyanogen Forum meer succes zal hebben, maar het lukt me niet om daar een account aan te maken. Wanneer er op 'Log In' gedrukt wordt, blijft de pagina oneindig staan laden.

Neko Koneko @rens-br • 30 maart 2016 08:11

Als je toestel geroot is kun je het package voor truecaller verwijderen (verplaatsen!) en kijken of je hem (evt na een reboot) wel vanuit de play store kunt installeren.

GiannoezNL @rens-br • 29 maart 2016 09:36

Ik heb een OnePlus X en heb deze app niet meegekregen. Heb hem overigens wel zelf geïnstalleerd

rens-br Forum Admin IN & Moderator Mobile @GiannoezNL • 29 maart 2016 10:14

Bedankt voor je reactie.

Truecaller zal dan alleen meegeleverd worden bij CyanogenOS en is dus een keus van Cyanogen en niet van OnePlus.

TRON @rens-br • 29 maart 2016 12:11

Is dit wel een bug? Het lijkt me namelijk een ontwerpkeuze. Groot gebruikersgemak, slechte beveiliging. Verder voor mij nu te weinig informatie om dit goed te beoordelen.

dutchgio 29 maart 2016 09:31

''Beveiligingsonderzoekers van Cheetah Mobile''. Zodra ik 'Cheetah Mobile' hoor krijgt ik ook spontaan de rillingen, dat is zo'n fishy developer. Heb je een lockscreen app, zit daar ook ineens een ram booster en 50GB (Chinese) cloud opslag in. Juist....

Dacuuu @dutchgio • 29 maart 2016 10:38

Nadat ze de populaire Android app quickpic overgekocht hebben ging het ook bergafwaarts. https://www.reddit.com/r/...nd_data_to_cheetah_mobile

Ik draai daarom de laatste versie van Quickpic van toen het zooitje nog niet overgekocht was.

[Reactie gewijzigd door Dacuuu op 22 juli 2024 15:10]

dutchgio @Dacuuu • 29 maart 2016 11:25

Klopt, die heb ik nu ook draaien. Via XDA ook een versie die zich 'anders voordoet', de signature is aangepast zodat je ook geen updates meer krijgt gepushed via Google Play. Dan blijf je op die versie.

SampleUser @Dacuuu • 29 maart 2016 11:04

Ik weet niet wat dat voor een misvormde URL is, zou wel vraag daar wat over willen lezen

nsacrawler @SampleUser • 29 maart 2016 11:11

Die link is van reddit dus dit is de hele linkhttp://reddit.com/r/andro...nd_data_to_cheetah_mobile

The_Worst 29 maart 2016 12:34

Apart de laatste versie die beschikbaar is in de Play Store dateert momenteel van 16 februari terwijl de patch pas 22 maart is gemaakt.

[Reactie gewijzigd door The_Worst op 22 juli 2024 15:10]

Evilcoocie 29 maart 2016 10:23

Ben ik even blij dat ik standaard bij het rootten van mijn Oneplus True caller, Google Film etc. eraf heb gehaald. Handig om gebruikers te kunnen identificeren, maar als jij dat kan kan iemand anders dat bij jou toch ook? Onveilig imo.

[Reactie gewijzigd door Evilcoocie op 22 juli 2024 15:10]

rens-br Forum Admin IN & Moderator Mobile @Evilcoocie • 29 maart 2016 10:27

Dat identificeren van andere kan alleen wanneer ik gebeld wordt, andere mensen kunnen dit dus ook wanneer ik hun bel.

Aangezien we al met elkaar in contact komen, heb ik er weinig moeite mee dat ze meteen weten wie er belt, ipv. pas wanneer ze opnemen. Het is niet mogelijk om in Truecaller namen te gaan opzoeken aan de hand van telefoonnummers, er moet echt eerst telefonisch contact zijn. (Dit in tegenstelling tot Facebook, waar het gewoon mogelijk is iemand te zoeken a.d.h.v. zijn telefoonnummer.

Op dit item kan niet meer gereageerd worden.

Lek in Truecaller-app gaf toegang tot gegevens van miljoenen Android-gebruikers

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: