Iako je bag navodno ispravljen, slike i poruke i dalje cure iz popularne Android aplikacije

Mobilni telefoni, 02.12.2020, 10:00 AM

Iako je bag navodno ispravljen, slike i poruke i dalje cure iz popularne Android aplikacije

Od kada su pre desetak dana otkriveni detalji o bagu u popularnoj Android aplikaciji GO SMS Pro, objavljene su dve nove verzije aplikacije u Google Play prodavnici, ali nijedna ne rešava u potpunosti problem sa bagom, zbog čega je privatnost 100 miliona korisnika aplikacije ugrožena.

Bag su 18. avgusta otkrili istraživači Trustwave SpiderLabsa u verziji 7.91 aplikacije koja je objavljena 18. februara ove godine. Istraživači su rekli da su oni od 18. avgusta više puta pokušali da kontaktiraju proizvođača aplikacije, ali da nisu dobili odgovor.

Bag ugrožava glasovne poruke, fotografije i video snimke koje šalju korisnici tako da haker ili neko ko je samo radoznao može kompromitovati bilo šta od sadržaja koji se deli između korisnika aplikacije. Problem je u načinu na koji se sadržaj prikazuje kada primaoci na svojim uređajima nemaju instaliranu aplikaciju GO SMS Pro, što dovodi do potencijalnog otkrivanja sadržaja koji je poslat.

Kada korisnik pošalje multimedijalnu poruku, onaj kome je poslata je može primiti čak i ako sam nema instaliranu aplikaciju. U tom slučaju, fajl se primaocu šalje kao URL putem SMS-a, tako da primalac može da klikne na link za prikaz fajla u prozoru pregledača. Problem je u tome što nije potrebna potvrda identiteta za pregled sadržaja, tako da svako ko ima link (a linkovi se mogu pogoditi) može da klikne na sadržaj.

Aplikacija je od kada je Trustwave upozorio na bag, tri puta ažurirana - jednom 29. septembra, i još dva puta prošlog meseca, 19. i 23. novembra. Trustwave je sada testirao obe verzije, tačnije v7.93 i v7.94 i otkrio da je bag i dalje tu, da su poruke i dalje dostupne, što “uključuje prilično osetljive podatke poput vozačkih dozvola, brojeva zdravstvenog osiguranja, pravnih dokumenata i, naravno, slika „romantičnije“ prirode“.

Na nesreću, sajber kriminalci su brzo iskoristili situaciju, jer je „na sajtovima poput Pastebina i Githuba objavljeno više alata i skripti da bi se to iskoristilo“, navodi Trustwave. „Nekoliko popularnih alata se ažurira svakodnevno i sada su već dostupne njihove treće ili četvrte revizije. Takođe smo videli hakerske forume kako direktno dele slike preuzete sa GO SMS servera.“

Što se tiče novih verzija, „čini se da [programer] pokušava da reši problem, ali potpuno rešenje još uvek nije dostupno u aplikaciji“, objasnili su istraživači. „Za v7.93 izgleda da su onemogućili slanje medijskih fajlova u potpunosti. Nismo uspeli ni da dodamo fajlove MMS poruci. U verziji v7.94 nije sprečena mogućnost otpremanja fajlova u aplikaciju, ali čini se da oni ne idu nigde... primalac ne dobija stvarni tekst ni sa fajlom ni bez njega. Izgleda da su u procesu pokušaja da reše osnovni problem.“

Trustwave je rekao da još uvek nije kontaktirao GO SMS Pro tim.

Iz Trustwavea kažu da im je cilj da spreče korisnike da rizikuju slanjem fotografija, video snimaka i glasovnih poruka. „S obzirom na to da su stari podaci i dalje u opasnosti da procure, pored nedostatka komunikacije ili potpunih ispravki (za bag), takođe mislimo da bi bila dobra ideja da Google ponovo povuče ovu aplikaciju.“


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje