Popularna Android aplikacija GO SMS Pro može da otkrije privatne poruke, fotografije i video snimke korisnika

Mobilni telefoni, 20.11.2020, 09:00 AM

GO SMS Pro, popularna aplikacija za slanje poruka za Android, sa više od 100 miliona instaliranja, ima bag koji javno izlaže glasovne poruke, fotografije i video snimke koje šalju korisnici. To znači da haker ili radoznali korisnik može kompromitovati bilo šta od sadržaja koji se deli između korisnika ove aplikacije, upozorili su istraživači iz kompanije Trustwave.

Oni kažu da su bag primetili u verziji 7.91 aplikacije koja je objavljena u Google Play prodavnici 18. februara 2020.

Trustwave je rekao da su oni od 18. avgusta više puta pokušali da kontaktiraju proizvođača aplikacija, ali da nisu dobili odgovor.

Ipak, GO SMS Pro je 29. septembra dobio ažuriranje (v7.92), praćeno još jednim naknadnim ažuriranjem, koje je objavljeno ove nedelje. Najnovija ažuriranja aplikacije, međutim, još uvek ne rešavaju pomenuti bag.

Bag je u načinu na koji se sadržaj prikazuje kada primaoci na svojim uređajima nemaju instaliranu aplikaciju GO SMS Pro, što dovodi do potencijalne izloženosti sadržaja koji je poslat.

„Ako primalac na svom uređaju ima aplikaciju GO SMS Pro, mediji će se automatski prikazivati u aplikaciji“, rekli su istraživači. "Međutim, ako primalac nema instaliranu aplikaciju GO SMS Pro, medijska datoteka se primaocu šalje kao URL putem SMS-a. Korisnik bi zatim mogao da klikne na link i pregleda fajl preko pregledača.”

Ovakav link je dostupan svima bez prethodne potvrde identiteta, URL se generiše bez obzira na to da li je primalac instalirao aplikaciju, čime je napadaču omogućen pristup fajlovima koji se šalju preko aplikacije.

Napadač može iskoristiti ovu tehniku za generisanje liste URL-ova i krađu korisničkih podataka bez njihovog znanja.

Bag verovatno utiče i na iOS verziju GO SMS Pro. Dok se ovo ne reši, preporučuje se da izbegavate slanje medijskih datoteka pomoću ove aplikacije.