Go SMS Pro یکی از اپهای پیامرسان اندروید است با بیش از یکصد میلیون نصب در پلیاستور با یک شکست عظیم امنیتی دستوپنجه نرم میکند. محققین توانستهاند فایلهای ارسالی پیوستشده در این اپ را بهصورت از راه دور نمایش دهند چراکه این برنامه فایلها را با استفاده از URLهای خودکار که در دسترس عموم هستند آپلود میکرده است.توسعهدهندگان این برنامه محبوب بایستی این خطا را بهسرعت برطرف کنند.
اپلیکیشن شخص ثالث SMS محبوب Go SMS Proکه در فهرست اپهای با بیش از 100 میلیون دانلود پلیاستور قرار دارد اخیراً مشخصشده است که با یک نقص بحرانی عرضه میشده است.
محققین امنیتی شرکت TrustWave متوجه شدهاند که این اپ اطلاعات کاربری را با آپلود فایلها در یک URL عمومی در معرض خطر قرار داده است. پس از تلاشهای مداوم با توسعهدهندگان این اپ که البته با شکست مواجه شدهاند خودشان در تالارهای گفتگوی مشهور یافتههای خود را به اشتراک گذاشتند.
"هنگامیکه یک کاربر Go SMS Pro یک عکس، ویدئو یا نوع دیگری از فایل را برای شخصی ارسال میکند که این اپ را نصب ندارد فایل را بر روی سرورهای خودش آپلود میکند و به کاربر اجازه میدهد تا با یک پیام متنی وب آدرس را به اشتراک بگذارد سپس گیرنده متوجه میشود که این وب آدرسها بهصورت متوالی هستند. در حقیقت، هرزمانی که یک فایل به اشتراک گذاشتهشده بود –حتی بین کاربران اپ- یک وب آدرس نیز تولید میشد. بدین معنی که هر شخصی که میتوانست وب آدرس را پیشبینی کند این توانایی را نیز داشت تا میان میلیونها وب آدرس متفاوت گردش کند و به فایلهای کاربران دست یابد."
محققین همچنین متوجه شدهاند درحالیکه ممکن نبوده هیچ کاربر خاصی از Go SMS Pro مورد هدف قرار گیرد اما هر فردی میتوانست همچون انداختن تور ماهی بزرگی، انبوهی از اطلاعات خصوصی را لایروبی کند. این محققین توانستهاند شماره تلفن افراد، اسکرینشات از انتقال بین بانکی، تأییدیه سفارش دارای آدرس منزل کاربر، یک حکم جلب و تعداد بالایی عکس دیگر بیابند. ازآنجاکه توسعهدهندگان این اپلیکیشن سکوت اختیار کردهاند به نظر نمیرسد تا این مشکل بهزودی برطرف شود.
برخی از بهترین ویژگیهای اندروید مربوط به شخصیساز پذیر و ماژولار بودن آن است. شما این امکان را دارید تا بخشهایی از تلفن خود را با نمونههای شخص ثالث دیگر توسعهدهندگان دگرگون کنید. چنین اعمالی البته اعتماد بسیار زیادی به توسعهدهندگان را میطلبد – مخصوصاً هنگامیکه صحبت از اطلاعاتی مانند SMS است- و در برخی مواقع این اعتماد بهخوبی جواب داده نمیشود.
درحالیکه بیش از یکصد میلیون بار Go SMS Pro نصبشده است مشخص نیست که چه میزان از آنها اخیراً نصبشده باشند. بیشتر تلفنهای اندرویدی فروختهشده در 2020، Google Mesages را بهعنوان اپ پیامرسان پیشفرض برگزیدهاند و کاربران ترجیح میدهند از برنامههایی که پیامها را بهصورت کاربربهکاربر (end-to-end) رمزگذاری میکنند مانند تلگرام و WhatsApp استفاده کنند. اگر شما هم جزو کسانی هستید که Go SMS Pro را نصبکردهاید بهتر است هرچه سریعتر آن را حذف کنید.