Aplikacja do SMS‑ów z poważną luką. Wysłane zdjęcia trafiają do internetu

Program GO SMS Pro na Androida, który może się pochwalić ponad 100 milionami pobrań ze Sklepu Play, okazuje się mieć poważną lukę bezpieczeństwa. Jak zauważyli analitycy, wysyłane przez aplikację multimedia są automatycznie udostępniane w internecie, a przez to potencjalnie dostępne dla każdego.

GO SMS Pro w Sklepie Play
GO SMS Pro w Sklepie Play
Źródło zdjęć: © WP | Oskar Ziomek
Oskar Ziomek

W aplikacji GO SMS Pro jest więc mowa o otwartej drodze do podglądania cudzych zdjęć czy filmów i co istotne – nie jest to wynik nieostrożności wysyłającego, ale sposobu, w jaki została zaprojektowana aplikacja.

Jak się okazuje, użytkownik chcący wysłać grafikę czy nagranie w GO SMS Pro, w praktyce nieświadomie wgrywa je na serwer producenta, a do odbiorcy wysyłany jest tylko link za pośrednictwem SMS-a. Jeśli posiada on taką samą aplikację, w treści rozmowy automatycznie wyświetlane jest zdjęcie lub film wczytane z otrzymanego linka. Odbiorca ma więc wrażenie, że otrzymał MMS-a.

Wysyłanie zdjęć przez GO SMS Pro przypomina wysyłanie MMS-ów
Wysyłanie zdjęć przez GO SMS Pro przypomina wysyłanie MMS-ów© Trustwave

W praktyce jednak wysyłany jest tylko URL do multimediów umieszczonych w sieci, ponieważ ten sam link da się uruchomić z dowolnego miejsca, bez jakiegokolwiek uwierzytelniania. Twórcy zdecydowali się na takie rozwiązanie najpewniej z uwagi na zgodność z innymi smartfonami. Jeśli w urządzeniu nie ma aplikacji GO SMS Pro, odbiorca wciąż może kliknąć w łącze wysłane zwykłym SMS-em i wyświetlić multimedia w przeglądarce.

Zgodność zgodnością, ale niestety to rozwiązanie ma potężną wadę. Jak wykazali analitycy z Trustwave, GO SMS Pro nie dba w tym zakresie o jakiekolwiek zabezpieczenia. Oznacza to, że link może odwiedzić ktokolwiek i bez hasła czy innej metody weryfikacji – po prostu zobaczyć zdjęcia lub filmy przesłane obcej osobie.

Oceny aplikacji GO SMS Pro w Sklepie Play
Oceny aplikacji GO SMS Pro w Sklepie Play© WP | Oskar Ziomek

Co więcej, linki do kolejnych multimediów (wysyłanych przecież przez użytkowników aplikacji GO SMS Pro z całego świata) są tworzone w przewidywalny sposób. By dostać się do cudzych wiadomości, wystarczy więc odwiedzać kolejne adresy z naiwnie zmienianym URL-em, z czym poradziłby sobie każdy haker-amator.

Zobacz też:

Trustwave podaje, że problem bezpieczeństwa w GO SMS Pro został wykryty w wersji 7.91. Niestety najpewniej jest obecny także we wszystkich poprzednich wersjach aplikacji i potencjalnie przyszłych – producent nie zareagował na wezwania analityków do zbadania sprawy, którzy zgłaszali lukę kilkukrotnie, począwszy od 18 sierpnia 2020 roku.

Wybrane dla Ciebie
Komentarze (10)