Портал TechCrunch пишет, что популярное приложение-мессенджер Go SMS Pro сливает пользовательские данные в Сеть. Число установок Go SMS Pro на Android-устройства по данным магазина-приложений Google Play превысило 100 млн.
Исследователи кибербезопасности компании Trustwave обнаружили опасную уязвимость в Go SMS Pro. Мессенджер автоматически загружает весь пользовательский контент, включая фото и видео, в интернет, присваивая ему ссылки, с помощью которых злоумышленник может получить доступ к любой приватной информации пользователя.
Go SMS Pro устроен так, чтобы любой пользователь — даже те, у которых не установлено это приложение, — мог получить сообщение. Для этого программа при отправке фотографии, видео или другого файла загружает его на свои серверы и генерирует ссылку.
Файлам присваивается ссылка url, перейдя по которой можно просмотреть отправленный контент, будь то документ или фотография. Проблема заключается в том, что эта ссылка ничем не защищена — то есть перейти по ней может любой человек. Более того, они генерируются мессенджером, а значит символы внутри создаются с помощью алгоритмов.
Однако, как выяснили эксперты Trustwave, Go SMS Pro загружает данные в Сеть в любом случае — даже если этим приложением пользуются оба собеседника. При этом, ссылки создаются предсказуемым образом, что позволяет злоумышленникам подглядывать за перепиской миллионов пользователей.
Репортер TechCrunch Зак Уитакер, обнаруживший уязвимость, просмотрел несколько ссылок, которые были сгенерированы приложением, и смог найти в них номер телефона пользователя, скриншот с банковской выписки, подтверждение заказа в магазине с адресом получателя.
При этом создатели приложения не реагируют на сообщения в электронной почте. Известно, что разработчиков Go SMS Pro уведомили о проблеме несколько месяцев назад, но они так и не исправили эту уязвимость, тем самым поставив под угрозу приватность миллионов своих пользователей.
До тех пор, пока до разработчики сервиса не исправят уязвимость, эксперты рекомендуют отказаться от использования Go SMS Pro, заменив его на аналогичное приложения.