Go SMS Pro, en populär SMS-app från tredje part med över 100 miljoner installationer som går från sin Google Play-lista, har just befunnits levereras med en kritisk brist.
Säkerhetsforskare på företaget TrustWave fann att appen exponerade användardata slarvigt genom att ladda upp filer som delades i appen till en offentlig URL. Efter att ha försökt och misslyckats med att kontakta apputvecklarna kontaktade de folket på TechCrunch med sina resultat.
TechCrunch förklarade:
När en Go SMS Pro-användare skickar ett foto, en video eller annan fil till någon som inte har appen installerad laddar appen upp filen till sina servrar och låter användaren dela en webbadress via textmeddelande så att mottagaren kan se filen utan att installera app. Men forskarna fann att dessa webbadresser var sekventiella. Faktum är att när som helst en fil delades - även mellan appanvändare - skulle en webbadress genereras oavsett. Det innebar att alla som kände till den förutsägbara webbadressen kunde ha cyklat igenom miljoner olika webbadresser till användarnas filer.
Forskarna noterade att även om det inte var möjligt att rikta sig mot någon enskild användare go Go SMS Pro, kunde någon kasta ett stort fisknät och muddra upp mycket privat data. TechCrunch kunde hitta "personens telefonnummer, en skärmdump av en banköverföring, en orderbekräftelse inklusive någons hemadress, ett arrestord," och flera kompromissande bilder. Apputvecklarna har gått AWOL under tiden, så det är inte troligt att detta skulle lösas snart.
Handla några av Black Friday bästa erbjudanden från hela nätet NU!
Några av Android: s bästa funktioner är dess anpassningsbarhet och modularitet. Du kan byta ut delar av telefonens programvara med tredjepartsversioner som skapats av andra utvecklare. Det kräver mycket förtroende som överlämnas till utvecklare - speciellt när det gäller data som SMS-meddelanden - och ibland belönas det förtroendet inte.
Medan appen har över hundra miljoner nedladdningar är det inte klart hur många av dem som nyligen har gjorts. Mest Android-telefoner såldes 2020 skickas med Google-meddelanden som standardapp för meddelanden, och användare föredrar att använda end-to-end krypterade appar som Telegram och WhatsApp i alla fall. Om du har den här appen installerad, är det självklart att du förmodligen ska dike den.