Această aplicație de mesagerie te expune online cu toate informațiile personale

de: Paula Artin
22 11. 2020

Aplicația de mesagerie Go SMS Pro, care are peste 100 de milioane de instalări din magazinul Google Play, are o eroare masivă de securitate care le permite oamenilor să acceseze conținutul sensibil trimis folosind aplicația.

Partea cea mai gravă însă, este că producătorul aplicației a fost informat despre această problemă cu luni în urmă, dar nu a făcut actualizări pentru a remedia problema.

Ce informații pot fi accesate prin aplicație?

“Uitându-ne doar la câteva zeci de linkuri, am găsit numărul de telefon al unei persoane, o captură de ecran a unui transfer bancar, o confirmare a comenzii care conținea inclusiv adresa de domiciliu, un dosar de arestare și fotografii explicite”, spune Zack Whittaker, reporter de securitate cibernetică la TechCrunch.

Procesul din spate sună cam așa: Go SMS Pro încarcă fiecare fișier media trimis pe internet și face aceste fișiere accesibile cu o adresă URL, conform unui raport al Trustwave.

Când trimiți un mesaj cu conținut media prin Go SMS Pro, cum ar fi o fotografie sau un videoclip, aplicația încarcă conținutul pe serverele sale, creează o adresă URL care îl conține și trimite adresa URL respectivă către destinatar.

Dacă destinatarul are și Go SMS Pro, conținutul apare direct în mesaj – dar aplicația încarcă oricum fișierul și creează în continuare acel link accesibil publicului pe internet.

Adresa URL este problema. Pentru a putea viziona conținutul link-ului, nu este necesară autentificarea, ceea ce înseamnă că oricine îl are poate avea acces la conținutul său.

Iar adresele URL generate de aplicație au o adresă secvențială și previzibilă, ceea ce înseamnă că oricine poate găsi alte fișiere doar schimbând părțile potrivite ale adresei URL.

Teoretic, ai putea chiar să scrii un script pentru a genera automat adrese URL secvențiale, astfel încât să poți găsi și parcurge rapid o mulțime de conținut privat partajat de persoanele care folosesc Go SMS Pro.

Ceea ce este și mai grav este că dezvoltatorul aplicației nu a răspuns sesizărilor, deci nu este clar dacă această vulnerabilitate va fi remediată vreodată. Iar site-ul dezvoltatorului listat în înregistrarea din Magazin Play pare să fie nefuncțional.

Așadar, dacă utilizezi Go SMS Pro și nu vrei ca întreg internetul să aibă acces la datele tale, poate ar fi mai bine să cauți o altă aplicație de mesagerie, mai sigură.