Trustwave的安全研究人员于8月份发现了该漏洞,并与该应用程序制造商联系,要求在90天的期限内解决此问题,这是漏洞披露的标准做法,以便有足够的时间进行修复。但是在截止日期过去之后,没有回音,研究人员公开了。
当Go SMS Pro用户将照片,视频或其他文件发送给未安装该应用程序的人时,该应用程序会将文件上传到其服务器,并允许用户通过短信共享网址,以便收件人可以看到文件而不安装应用程序。但是研究人员发现这些网址是连续的。实际上,无论何时在文件共享之间(甚至在应用程序用户之间),都会生成一个网址。这意味着任何知道可预测网址的人都可以通过数百万个不同的网址循环访问用户的文件。
根据其在Google Play中的列出,Go SMS Pro的安装量已超过1亿。
TechCrunch验证了研究人员的发现。通过仅查看几十个链接,我们发现一个人的电话号码,银行转账的屏幕截图,包含某人的家庭住址的订单确认,逮捕记录以及比我们期望的要清晰得多的照片,这很坦白。
Trustwave的高级安全研究经理Karl Sigler表示,虽然不可能针对任何特定用户,但使用该应用发送的任何文件都容易受到公众访问。他说:“攻击者可以创建脚本,使脚本可以跨云实例存储的所有媒体文件。”
与研究人员一样,我们从应用程序制造商那里得到的回应与运气差不多。 TechCrunch通过电子邮件发送了与该应用程序关联的两个电子邮件地址。一封电子邮件立即退回,称由于收件箱已满,无法发送该电子邮件。根据我们的电子邮件打开跟踪器,另一封电子邮件已打开,但后续电子邮件未打开。
由于您现在可能想要一种可以保护您的隐私的消息传递应用程序,因此我们可以帮助您。