以前,据透露,GO SMS Pro消息传递应用程序泄露了超过1亿用户的高度敏感数据。
周前,我们报道了一个名为GO SMS Pro的Android短信应用程序,该应用程序存在一个漏洞,该漏洞使未经授权的个人可以查看其他人的私人消息。这是由于每次发送媒体消息时都会生成一个链接,该链接不仅可以由收件人以外的其他人用来查看该消息,而且还可以增加链接本身以查看其他人的消息。
尽管在发布之时,该漏洞尚未修复,但我们现在进行了更新。最近,在Trustwave的介绍下,发现该应用程序的开发人员一直在尝试发布补丁程序,但未成功发布。
它最初从11月20日开始,当时Google从其Play商店中删除了该应用程序。三天后,该应用程序再次启动,但是这次掌控了更新版本。
但是,这些2号的更新版本不能解决当前的问题。首先,在该应用程序的7.93版本中,该公司完全禁止发送媒体文件。
但是,在另一个后续更新中,尽管启用了发送功能,但接收方无法查看发送的媒体,从而使其变得无用,如下所示:
尽管如此,研究人员表示: “我们可以确认用于验证原始漏洞的较旧媒体仍然可用。” 这意味着用户的敏感数据仍处于公开状态,其中包括驾驶执照,图片,机密文档以及几乎可以通过聊天发送的所有内容。
更令人震惊的是,研究人员还报告了在多个站点(例如Github和Pastebin)上发现的旨在利用有问题的漏洞的工具。
此外,暗网论坛一直在“直接共享从GO SMS服务器下载的图像”,这显然给应用程序用户带来了灾难。
总而言之,这对开发人员非常不利,这表明他们对修补程序的修复一无所知。
拥有如此庞大的用户群(超过1亿用户),无疑要求公司聘请优秀的网络安全分析师,他们不仅可以修复当前的安全漏洞,还可以积极进行渗透测试,以防范未来的攻击。
目前,我们建议用户尽快放弃该应用,并切换到其他安全方式。
尽管我们讨厌任何需要全面披露的情况,但如果没有GOMO和GO SMS Pro的合作,我们解决此问题的能力将非常有限。我们唯一的途径是进行公众教育,以防止用户继续冒险使用他们敏感的照片,视频和语音消息。鉴于旧数据仍然存在风险并且正在积极泄漏,除了缺乏沟通或完整修复之外,我们还认为Google撤消该应用程序是一个好主意。