GO SMS Pro应用补丁不完整仍会泄露数百万用户敏感数据

GO SMS Pro应用补丁不完整仍会泄露数百万用户敏感数据

以前,据透露,GO SMS Pro消息传递应用程序泄露了超过1亿用户的高度敏感数据。

周前,我们报道了一个名为GO SMS Pro的Android短信应用程序,该应用程序存在一个漏洞,该漏洞使未经授权的个人可以查看其他人的私人消息。这是由于每次发送媒体消息时都会生成一个链接,该链接不仅可以由收件人以外的其他人用来查看该消息,而且还可以增加链接本身以查看其他人的消息。

尽管在发布之时,该漏洞尚未修复,但我们现在进行了更新。最近,在Trustwave的介绍下,发现该应用程序的开发人员一直在尝试发布补丁程序,但未成功发布。

它最初从11月20日开始,当时Google从其Play商店中删除了该应用程序。三天后,该应用程序再次启动,但是这次掌控了更新版本。

但是,这些2号的更新版本不能解决当前的问题。首先,在该应用程序的7.93版本中,该公司完全禁止发送媒体文件。

但是,在另一个后续更新中,尽管启用了发送功能,但接收方无法查看发送的媒体,从而使其变得无用,如下所示:

GO SMS Pro应用补丁不完整仍会泄露数百万用户敏感数据

尽管如此,研究人员表示: “我们可以确认用于验证原始漏洞的较旧媒体仍然可用。” 这意味着用户的敏感数据仍处于公开状态,其中包括驾驶执照图片机密文档以及几乎可以通过聊天发送的所有内容

GO SMS Pro应用补丁不完整仍会泄露数百万用户敏感数据

更令人震惊的是,研究人员还报告了在多个站点(例如Github和Pastebin)上发现的旨在利用有问题的漏洞的工具。

GO SMS Pro应用补丁不完整仍会泄露数百万用户敏感数据

此外,暗网论坛一直在“直接共享从GO SMS服务器下载的图像”,这显然给应用程序用户带来了灾难。

GO SMS Pro应用补丁不完整仍会泄露数百万用户敏感数据

总而言之,这对开发人员非常不利,这表明他们对修补程序的修复一无所知。

拥有如此庞大的用户群(超过1亿用户),无疑要求公司聘请优秀的网络安全分析师,他们不仅可以修复当前的安全漏洞,还可以积极进行渗透测试,以防范未来的攻击。

目前,我们建议用户尽快放弃该应用,并切换到其他安全方式。

尽管我们讨厌任何需要全面披露的情况,但如果没有GOMO和GO SMS Pro的合作,我们解决此问题的能力将非常有限。我们唯一的途径是进行公众教育,以防止用户继续冒险使用他们敏感的照片,视频和语音消息。鉴于旧数据仍然存在风险并且正在积极泄漏,除了缺乏沟通或完整修复之外,我们还认为Google撤消该应用程序是一个好主意。

from from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注