TeamQuest Blog

Twoje SMSy w sieci

Twoje SMSy w sieci

Marcin Sarna , 23.11.2020 r.

Jeśli wysyłałeś SMS z aplikacji mobilnej Go SMS Pro to możliwe, że trafił on do Internetu.

Luka w zabezpieczeniach

Aplikacja do obsługi wiadomości Go SMS Pro, która ma ponad 100 milionów instalacji ze sklepu Google Play, jest dotknięta ogromną luką w zabezpieczeniach, która potencjalnie umożliwia użytkownikom dostęp do poufnych treści, które zostały wysłane za pomocą aplikacji. Mimo że producent aplikacji został poinformowany o problemie kilka miesięcy temu, nie wprowadził aktualizacji, która usunęłaby problem.

Aby mieć jakieś wyobrażenie o tym, ile informacji wycieka z aplikacji, warto zobaczyć co ustalił serwis TechCrunch. Zdaniem dziennikarza Zacka Whittakera:

Przeglądając zaledwie kilkadziesiąt linków, znaleźliśmy numer telefonu osoby, zrzut ekranu przelewu bankowego, potwierdzenie zamówienia, w tym czyjś adres domowy, informację o aresztowaniu i dużo bardziej dosadne zdjęcia, niż się spodziewaliśmy, mówiąc całkiem szczerze.

Co się dzieje?

Każdy plik multimedialny, który wysyłasz do Internetu, Go SMS Pro udostępnia za pomocą adresu URL, na co jednoznacznie wskazuje raport firmy Trustwave. Kiedy wysyłasz wiadomość z multimediami za pośrednictwem Go SMS Pro, na przykład zdjęcie lub wideo, aplikacja przesyła zawartość na swoje serwery, tworzy adres URL wskazujący na daną informację i wysyła ten adres URL do odbiorcy. Jeśli odbiorca ma również Go SMS Pro, treść pojawia się bezpośrednio w wiadomości - ale aplikacja nadal przesyła plik i nadal tworzy publicznie dostępny link w Internecie.

Wygląda to na przykład tak:

I sent you an audio clip: http://gs.3g.cn/D/dd1efd/w

To ten adres URL jest przyczyną problemu. Nie jest wymagane uwierzytelnianie, aby wyświetlić link, co oznacza, że każdy, kto go posiada, może zobaczyć zawartą w nim zawartość. A adresy URL generowane przez aplikację najwyraźniej mają sekwencyjny i przewidywalny adres, co oznacza, że każdy może przeglądać inne pliki, zmieniając tylko odpowiednie części adresu URL. Teoretycznie można nawet napisać skrypt do automatycznego generowania kolejnych adresów URL, dzięki czemu można szybko znaleźć i przeglądać wiele prywatnych treści udostępnianych przez osoby korzystające z Go SMS Pro. Przykład? Proszę bardzo.

 #!/bin/bash 
(echo obase=16; seq 1 $((echo ibase=16; echo FF) | bc)) | bc > 1
for i in $(cat 1); do echo "http://gs.3g.cn/D/dd1a$i /w"; done | tr -d " "

Nie naprawią?

Co gorsza, programista aplikacji nie odpowiada na wysyłane do niego przez dziennikarzy wiadomości, więc nie jest jasne, czy ta luka zostanie kiedykolwiek naprawiona. Firma Trustwave poinformowała, że czterokrotnie kontaktowała się z tą osobą począwszy od 18 sierpnia 2020 roku aby powiadomić o luce w zabezpieczeniach - zupełnie bez odpowiedzi. TechCrunch próbował też wysłać dwa adresy e-mail używane w samej aplikacji. E-mail na jeden adres wrócił z wiadomością, że skrzynka odbiorcza jest pełna. Drugi mail został otwarty ale i na niego nie udzielono odpowiedzi, a e-mail wysłany w ślad za nim już nawet nie został otwarty. Z kolei The Verge próbował skontaktować się z programistą w celu uzyskania komentarza za pośrednictwem wiadomości e-mail podanej na liście Sklepu Play, ale wiadomość została odesłana z powrotem z komunikatem „Skrzynka odbiorcza odbiorcy pełna”. Witryna programisty wymieniona na liście Sklepu Play wydaje się być uszkodzona.

Jeśli więc korzystasz teraz z Go SMS Pro i chcesz, aby to, co udostępniasz, nie wyciekło do Internetu, możesz znaleźć inną aplikację do obsługi wiadomości. Może na przykład WhatsApp?

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej