Go SMS Pro, oblíbená aplikace pro SMS od jiných dodavatelů s více než 100 miliony instalací, která vychází ze seznamu na Google Play, se právě objevila s kritickou chybou.
Bezpečnostní výzkumníci ve společnosti TrustWave zjistili, že aplikace nedbale vystavovala uživatelská data nahráním souborů sdílených v aplikaci na veřejnou adresu URL. Poté, co se nepodařilo kontaktovat vývojáře aplikací, kontaktovali lidi na adrese TechCrunch s jejich nálezy.
TechCrunch vysvětleno:
Když uživatel Go SMS Pro odešle fotografii, video nebo jiný soubor někomu, kdo nemá nainstalovanou aplikaci, aplikace soubor nahraje na své servery a umožňuje uživateli sdílet webovou adresu prostřednictvím textové zprávy, aby příjemce mohl soubor zobrazit bez instalace aplikace. Vědci ale zjistili, že tyto webové adresy byly sekvenční. Ve skutečnosti, kdykoli byl soubor sdílen - i mezi uživateli aplikace - byla by vygenerována webová adresa bez ohledu na to. To znamenalo, že každý, kdo věděl o předvídatelné webové adrese, mohl procházet miliony různých webových adres do souborů uživatelů.
Vědci si všimli, že i když nebylo možné zacílit na každého jednotlivého uživatele go SMS Pro, někdo mohl vrhnout obrovskou síťku a vytáhnout spoustu soukromých dat. TechCrunch byli schopni najít „telefonní číslo osoby, snímek obrazovky bankovního převodu, potvrzení objednávky včetně adresy bydliště někoho, záznam o zatčení“ a několik kompromitujících fotografií. Vývojáři aplikací mezitím prošli AWOL, takže není pravděpodobné, že by to bylo brzy opraveno.
Nakupujte hned teď některé z nejlepších nabídek Black Friday z celého webu!
Mezi nejlepší funkce systému Android patří přizpůsobitelnost a modularita. Můžete vyměnit části softwaru svého telefonu s verzemi třetích stran vytvořenými jinými vývojáři. Vyžaduje to velkou důvěru předanou vývojářům - zvláště pokud jde o data, jako jsou SMS zprávy - a někdy tato důvěra není odměněna.
I když má aplikace více než sto milionů stažení, není jasné, kolik z nich je v poslední době. Většina Telefony Android prodané v roce 2020 loď s Zprávy Google jako svou výchozí aplikaci pro zasílání zpráv a uživatelé raději používají šifrované aplikace typu end-to-end Telegram a WhatsApp tak jako tak. Pokud máte tuto aplikaci nainstalovanou, je samozřejmé, že byste ji pravděpodobně měli vypustit.