Go SMS Pro, popularna aplikacja do obsługi SMS-ów innej firmy z ponad 100 milionami instalacji opuszczających jej listę w Google Play została właśnie dostarczona z krytyczną luką.
Badacze bezpieczeństwa z firmy TrustWave odkryli, że aplikacja beztrosko ujawnia dane użytkownika, przesyłając pliki udostępnione w aplikacji na publiczny adres URL. Po próbie skontaktowania się z twórcami aplikacji bezskutecznie skontaktowali się z osobami o godzinie TechCrunch z ich ustaleniami.
TechCrunch wyjaśnił:
Gdy użytkownik Go SMS Pro wysyła zdjęcie, wideo lub inny plik do osoby, która nie ma zainstalowanej aplikacji, aplikacja przesyła plik na swoje serwery i umożliwia użytkownikowi udostępnianie adresu internetowego za pomocą wiadomości tekstowej, aby odbiorca mógł zobaczyć plik bez instalowania aplikacja. Jednak naukowcy odkryli, że te adresy internetowe były sekwencyjne. W rzeczywistości za każdym razem, gdy plik był udostępniany - nawet między użytkownikami aplikacji - adres internetowy byłby generowany niezależnie. Oznaczało to, że każdy, kto wiedział o przewidywalnym adresie internetowym, mógł przejść przez miliony różnych adresów internetowych do plików użytkowników.
Naukowcy zauważyli, że chociaż nie można było zaatakować żadnego indywidualnego użytkownika Go SMS Pro, ktoś mógł zarzucić ogromną siatkę i wydobyć wiele prywatnych danych. TechCrunch udało się znaleźć „numer telefonu osoby, zrzut ekranu przelewu bankowego, potwierdzenie zamówienia zawierające czyjś adres domowy, zapis aresztowania” i kilka kompromitujących zdjęć. W międzyczasie programiści aplikacji stracili pracę, więc nie jest prawdopodobne, że zostanie to wkrótce naprawione.
Kup jedne z najlepszych okazji Czarnego Piątku w Internecie TERAZ!
Niektóre z najlepszych funkcji Androida to możliwość dostosowywania i modułowość. Możesz wymieniać części oprogramowania telefonu na wersje innych firm utworzone przez innych programistów. Wymaga to dużego zaufania przekazywanego programistom - zwłaszcza jeśli chodzi o dane, takie jak wiadomości SMS - i czasami to zaufanie nie jest nagradzane.
Chociaż aplikacja ma ponad sto milionów pobrań, nie jest jasne, ile z nich jest niedawnych. Większość Telefony z Androidem sprzedane w 2020 roku statek z Wiadomości Google jako domyślna aplikacja do obsługi wiadomości, a użytkownicy wolą korzystać z kompleksowych, zaszyfrowanych aplikacji, takich jak Telegram i WhatsApp tak czy inaczej. Jeśli masz zainstalowaną tę aplikację, jest oczywiste, że prawdopodobnie powinieneś ją porzucić.