Dünya
Giriş Tarihi : 18-01-2021 20:55   Güncelleme : 18-01-2021 20:55

Bu mesajlaşma uygulaması internete gönderdiğiniz her dosyayı yükler, bu kötü

Google Play mağazasından 100 milyondan fazla yüklemesi olan Mesajlaşma uygulaması Go SMS Pro, kullanıcıların uygulamayı kullanarak gönderdiğiniz hassas içeriğe erişmesine potansiyel olarak izin veren büyük bir güvenlik açığına sahiptir

Bu mesajlaşma uygulaması internete gönderdiğiniz her dosyayı yükler, bu kötü

Google Play mağazasından 100 milyondan fazla yüklemesi olan Mesajlaşma uygulaması Go SMS Pro, kullanıcıların uygulamayı kullanarak gönderdiğiniz hassas içeriğe erişmesine potansiyel olarak izin veren büyük bir güvenlik açığına sahiptir. Uygulamanın üreticisi, sorun hakkında aylar önce bilgilendirilmiş olsa da, sorunu gidermek için güncelleme yapmadı.

Size uygulamanın ne kadar bilgi sızdırdığı konusunda fikir vermesi için TechCrunch bulabildi: "Yalnızca birkaç düzine bağlantıyı görüntülerken, bir kişinin telefon numarasını, banka havalesinin ekran görüntüsünü, birinin ev adresini içeren bir sipariş onayı, tutuklama kaydı ve beklediğimizden çok daha fazla müstehcen fotoğraflar bulduk. dürüst olmak gerekirse, ”diyor siber güvenlik muhabiri Zack Whittaker. Harika değil.

İşte neler oluyor: Trustwave tarafından hazırlanan bir rapora göre Go SMS Pro, internete gönderdiğiniz her medya dosyasını yükler ve bu dosyalara bir URL ile erişilebilir hale getirir. Go SMS Pro aracılığıyla bir fotoğraf veya video gibi medyaya sahip bir mesaj gönderdiğinizde, uygulama içeriği sunucularına yükler, bunu gösteren bir URL oluşturur ve bu URL'yi alıcıya gönderir. Alıcıda da Go SMS Pro varsa içerik doğrudan mesajda görünür - ancak uygulama dosyayı yine de yükler ve yine de internette herkesin erişebileceği o bağlantıyı oluşturur.

Sorunun kaynağı URL'dir

İşte URL, sorunun olduğu yerdir. Bağlantıya bakmak için kimlik doğrulaması gerekmez, yani bağlantıya sahip olan herkes içindeki içeriği görüntüleyebilir. Ve uygulama tarafından oluşturulan URL'lerin sıralı ve öngörülebilir bir adrese sahip olduğu görülüyor, bu da herkesin yalnızca URL'nin doğru kısımlarını değiştirerek diğer dosyalara bakabileceği anlamına geliyor. Teorik olarak, sıralı URL'leri otomatik olarak oluşturmak için bir komut dosyası bile yazabilir, böylece Go SMS Pro kullanan kişiler tarafından paylaşılan birçok özel içeriği hızla bulabilir ve bunlara göz atabilirsiniz.

Daha da kötüsü, uygulamanın geliştiricisi yanıt vermedi, bu nedenle bu güvenlik açığının düzeltilip düzeltilmeyeceği belli değil. Trustwave, geliştiriciyle 18 Ağustos 2020'den bu yana dört kez iletişime geçerek onları güvenlik açığı konusunda yanıt vermediğini söyledi. TechCrunch, uygulamaya bağlı iki e-posta adresine e-posta göndermeyi denedi. Bir adrese gönderilen e-posta, gelen kutusunun dolu olduğunu belirten bir mesajla geri döndü. Başka bir e-posta açıldı, ancak yanıtlanmadı ve bir takip e-postası açılmadı. Verge, yorum yapmak için geliştiriciye Play Store girişinde listelenen bir e-posta yoluyla ulaşmaya çalıştı, ancak e-posta "alıcı gelen kutusu dolu" mesajıyla geri döndü. Ayrıca geliştiricinin Play Store girişinde listelenen web sitesi bozuk görünüyor.

Dolayısıyla, şu anda Go SMS Pro kullanıyorsanız ve paylaştığınız şeylerin internete sızmasını önlemek istiyorsanız, farklı bir mesajlaşma uygulaması bulmak için.