安卓GO SMS PRO仍在泄露照片及视频问题

安全 漏洞
研究人员表示,自11月披露一个重大安全漏洞以来,GO SMS PRO 的Android应用已经在Google Play上发布了两个新版本--但都没有修复原来的漏洞,这使得1亿用户面临着隐私被侵犯的风险。

 研究人员表示,自11月披露一个重大安全漏洞以来,GO SMS PRO 的Android应用已经在Google Play上发布了两个新版本--但都没有修复原来的漏洞,这使得1亿用户面临着隐私被侵犯的风险。

与此同时,大量针对该漏洞的利用工具已经被广泛的发布传播。

根据Trustwave SpiderLabs的说法,该公司最初发现了一个安全漏洞,可以利用该漏洞使流行的应用程序Messenger发送的私人语音邮件,使视频邮件和照片发生泄漏。

当用户使用GO SMS Pro发送一条媒体信息时,即使收件人没有安装应用程序,也可以收到该信息。在这种情况下,媒体文件会以URL的形式通过短信发送给收件人,所以对方可以通过点击链接在浏览器窗口中查看媒体文件。 但问题是,查看内容时不需要通过认证,所以任何人只要有链接(链接也可以猜到)就可以点击进入查看内容。

根据Trustwave的说法,"仅通过一些非常小的细节,在众多的人群中查找一个人是不现实的" ,"虽然不能直接将媒体的内容与特定的用户联系起来,但那些带有姓名,面部或其他识别特征的媒体文件却可以做到这一点。"

11月19日,在原Trustwave咨询发布会的前一天,该应用的新版本被上传到了Play Store;随后很快在11月23日发布了第二个更新版本。Trustwave目前已经测试了v7.93和v7.94这两个版本。

研究人员在周二的一篇文章中解释说,"我们可以确定,原始的媒体漏洞仍然可以使用,"换句话说,以前已经发送的信息仍然可以访问。"这包括不少敏感数据,比如驾驶执照、医疗保险账号、法律文件,当然还有更'浪漫'的图片。"

不幸的是,网络骗子很快就利用了这个漏洞。根据Trustwave的说法,"在Pastebin和Github等网站上发布的利用这个漏洞的工具和脚本多如牛毛"。"许多流行的工具每天都在更新,而且是第三次或第四次修订。我们还看到了地下论坛直接分享的从GO SMS服务器下载的图片。"

至于新版本,研究人员解释说,"开发者似乎正在尝试修复这个漏洞,但应用程序中仍然没有被完全修复","对于v7.93,他们似乎完全禁用了发送媒体文件的功能。我们甚至无法在彩信中附加文件。在v7.94中,他们没有禁用在应用程序中上传媒体文件的功能,但媒体文件似乎没有发出去...... 无论有没有附加媒体文件,收件人都收不到任何文本信息。所以,看来他们正在尝试修复底层根本的漏洞。"

Trustwave表示,目前还没有收到来自GO SMS Pro团队的联系。

研究人员说,"我们唯一的渠道是通过公众教育,来阻止用户继续冒着风险去使用他们的敏感照片、视频和语音信息","鉴于旧数据仍然还有风险,并且被用户主动地泄露,再加上缺乏沟通或没有对于软件进行全面的修复,我们也认为谷歌将这款应用下架是个好的做法。"

本文翻译自:https://threatpost.com/android-messenger-app-leaking-photos-videos/161741/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2014-07-01 10:01:36

Go安卓开发

2012-12-11 11:28:20

2022-10-10 11:37:14

Gomap内存

2012-03-28 09:40:55

安卓开发入门教程视频

2023-09-25 13:24:37

2013-03-18 09:11:15

2013-03-30 22:27:59

2017-12-11 11:00:27

内存泄露判断

2010-10-19 09:15:57

VMware Go P

2013-05-03 13:59:18

视频会议音频音频通话

2014-07-28 10:00:47

linux系统调试句柄

2022-02-23 11:22:59

漏洞黑客僵尸网络

2014-07-10 10:58:36

安卓碎片化

2013-03-18 10:19:27

安卓软件手机通讯录隐私信息

2019-06-20 16:07:12

鸿蒙安卓操作系统

2019-10-24 17:02:09

数据库操作系统技术

2009-02-13 10:55:07

TouchPro版Firefox

2012-08-22 17:58:24

天天影音

2021-02-24 14:29:17

安卓系统密码

2015-07-08 14:15:46

点赞
收藏

51CTO技术栈公众号