Jeśli wysyłałeś SMS z aplikacji mobilnej Go SMS Pro to możliwe, że trafił on do Internetu.
Luka w zabezpieczeniach
Aplikacja do obsługi wiadomości Go SMS Pro, która ma ponad 100 milionów instalacji ze sklepu Google Play, jest dotknięta ogromną luką w zabezpieczeniach, która potencjalnie umożliwia użytkownikom dostęp do poufnych treści, które zostały wysłane za pomocą aplikacji. Mimo że producent aplikacji został poinformowany o problemie kilka miesięcy temu, nie wprowadził aktualizacji, która usunęłaby problem.
Aby mieć jakieś wyobrażenie o tym, ile informacji wycieka z aplikacji, warto zobaczyć co ustalił serwis TechCrunch. Zdaniem dziennikarza Zacka Whittakera:
Przeglądając zaledwie kilkadziesiąt linków, znaleźliśmy numer telefonu osoby, zrzut ekranu przelewu bankowego, potwierdzenie zamówienia, w tym czyjś adres domowy, informację o aresztowaniu i dużo bardziej dosadne zdjęcia, niż się spodziewaliśmy, mówiąc całkiem szczerze.
Co się dzieje?
Każdy plik multimedialny, który wysyłasz do Internetu, Go SMS Pro udostępnia za pomocą adresu URL, na co jednoznacznie wskazuje raport firmy Trustwave. Kiedy wysyłasz wiadomość z multimediami za pośrednictwem Go SMS Pro, na przykład zdjęcie lub wideo, aplikacja przesyła zawartość na swoje serwery, tworzy adres URL wskazujący na daną informację i wysyła ten adres URL do odbiorcy. Jeśli odbiorca ma również Go SMS Pro, treść pojawia się bezpośrednio w wiadomości - ale aplikacja nadal przesyła plik i nadal tworzy publicznie dostępny link w Internecie.
Wygląda to na przykład tak:
I sent you an audio clip: http://gs.3g.cn/D/dd1efd/w
To ten adres URL jest przyczyną problemu. Nie jest wymagane uwierzytelnianie, aby wyświetlić link, co oznacza, że każdy, kto go posiada, może zobaczyć zawartą w nim zawartość. A adresy URL generowane przez aplikację najwyraźniej mają sekwencyjny i przewidywalny adres, co oznacza, że każdy może przeglądać inne pliki, zmieniając tylko odpowiednie części adresu URL. Teoretycznie można nawet napisać skrypt do automatycznego generowania kolejnych adresów URL, dzięki czemu można szybko znaleźć i przeglądać wiele prywatnych treści udostępnianych przez osoby korzystające z Go SMS Pro. Przykład? Proszę bardzo.
#!/bin/bash
(echo obase=16; seq 1 $((echo ibase=16; echo FF) | bc)) | bc > 1
for i in $(cat 1); do echo "http://gs.3g.cn/D/dd1a$i /w"; done | tr -d " "
Nie naprawią?
Co gorsza, programista aplikacji nie odpowiada na wysyłane do niego przez dziennikarzy wiadomości, więc nie jest jasne, czy ta luka zostanie kiedykolwiek naprawiona. Firma Trustwave poinformowała, że czterokrotnie kontaktowała się z tą osobą począwszy od 18 sierpnia 2020 roku aby powiadomić o luce w zabezpieczeniach - zupełnie bez odpowiedzi. TechCrunch próbował też wysłać dwa adresy e-mail używane w samej aplikacji. E-mail na jeden adres wrócił z wiadomością, że skrzynka odbiorcza jest pełna. Drugi mail został otwarty ale i na niego nie udzielono odpowiedzi, a e-mail wysłany w ślad za nim już nawet nie został otwarty. Z kolei The Verge próbował skontaktować się z programistą w celu uzyskania komentarza za pośrednictwem wiadomości e-mail podanej na liście Sklepu Play, ale wiadomość została odesłana z powrotem z komunikatem „Skrzynka odbiorcza odbiorcy pełna”. Witryna programisty wymieniona na liście Sklepu Play wydaje się być uszkodzona.
Jeśli więc korzystasz teraz z Go SMS Pro i chcesz, aby to, co udostępniasz, nie wyciekło do Internetu, możesz znaleźć inną aplikację do obsługi wiadomości. Może na przykład WhatsApp?