Go SMS Pro, une application SMS tierce populaire avec plus de 100 millions d'installations provenant de sa liste Google Play, vient de se voir livrée avec une faille critique.
Les chercheurs en sécurité de la société TrustWave ont constaté que l'application exposait les données des utilisateurs par négligence en téléchargeant des fichiers partagés sur l'application vers une URL publique. Après avoir essayé et échoué de contacter les développeurs d'applications, ils ont contacté les gens à l'adresse TechCrunch avec leurs découvertes.
TechCrunch expliqué:
Lorsqu'un utilisateur Go SMS Pro envoie une photo, une vidéo ou un autre fichier à quelqu'un qui n'a pas installé l'application, l'application télécharge le fichier à ses serveurs et permet à l'utilisateur de partager une adresse Web par SMS afin que le destinataire puisse voir le fichier sans installer le app. Mais les chercheurs ont découvert que ces adresses Web étaient séquentielles. En fait, à chaque fois qu'un fichier était partagé - même entre les utilisateurs de l'application - une adresse Web était générée malgré tout. Cela signifiait que toute personne connaissant l'adresse Web prévisible aurait pu parcourir des millions d'adresses Web différentes vers les fichiers des utilisateurs.
Les chercheurs ont noté que s'il n'était pas possible de cibler un utilisateur individuel de Go SMS Pro, quelqu'un pouvait lancer un énorme filet et récupérer de nombreuses données privées. TechCrunch ont pu trouver «le numéro de téléphone de la personne, une capture d'écran d'un virement bancaire, une confirmation de commande comprenant l'adresse personnelle de quelqu'un, un dossier d'arrestation» et plusieurs photos compromettantes. Les développeurs d'applications sont devenus AWOL entre-temps, il est donc peu probable que cela soit corrigé bientôt.
Découvrez certaines des meilleures offres du Black Friday sur le Web MAINTENANT!
Certaines des meilleures fonctionnalités d'Android sont sa personnalisation et sa modularité. Vous pouvez échanger des parties du logiciel de votre téléphone avec des versions tierces créées par d'autres développeurs. Cela nécessite beaucoup de confiance accordée aux développeurs - en particulier en ce qui concerne les données telles que les messages SMS - et parfois cette confiance n'est pas récompensée.
Bien que l'application ait plus de cent millions de téléchargements, on ne sait pas combien d'entre eux sont récents. Plus Téléphones Android vendus en 2020 expédier avec Messages Google comme application de messagerie par défaut, et les utilisateurs préfèrent utiliser des applications chiffrées de bout en bout comme Telegram et WhatsApp en tous cas. Si vous avez installé cette application, il va sans dire que vous devriez probablement l'abandonner.