科学研究工作员表明,自11月公布一个重要安全性漏洞至今,GO SMS PRO 的Android运用早已在Google Play上推送了2个最新版本--但也没有修补原先的漏洞,这促使1亿客户遭遇着个人隐私被侵犯的风险性。
此外,很多对于该漏洞的利用专用工具早已被普遍的公布散播。
依据Trustwave SpiderLabs的观点,该企业最开始发觉了一个安全性漏洞,可以利用该漏洞使时兴的应用软件Messenger推送的个人视频语音电子邮件,使短视频电子邮件和相片产生泄露。
当客户应用GO SMS Pro推送一条新闻媒体信息时,即使收货人沒有安装应用程序,还可以接到该信息。在这样的情况下,媒体文件会以URL的方式根据群发短信给收货人,因此另一方可以根据点一下连接在网页对话框中查看媒体文件。 但问题是,查看內容时不用根据验证,因此所有人只需有连接(链接还可以猜到)就可以点击查看查看內容。
依据Trustwave的观点,"仅根据一些特别小的关键点,在许多的群体中搜索一个人不是实际的" ,"尽管无法同时将新闻媒体的具体内容与特殊的客户联络起來,但这些含有名字,脸部或别的鉴别特点的媒体文件却可以实现这一点。"
11月19日,在原Trustwave资询新品发布会的前一天,该运用的最新版本被强上传至了Play Store;接着迅速在11月23日公布了第二个更新版本。Trustwave现阶段早已检测了v7.93和v7.94这两个版本号。
科学研究员工在周二的一篇文章中表述说,"我们可以明确,初始的新闻媒体漏洞依然可以应用,"也就是说,之前早已推送的信息依然可以浏览。"这包含许多隐秘数据,例如驾驶执照、医保账户、法律文件,自然也有更'烂漫'的照片。"
遗憾的是,微信仙人跳迅速就利用了这一漏洞。依据Trustwave的观点,"在Pastebin和Github等网址上公布的利用这一漏洞的专用工具和脚本制作比比皆是"。"很多时兴的软件每日都会升级,并且是第三次或第四次修定。大家还看到了地底社区论坛立即介绍的从GO SMS服务器下载的照片。"
对于最新版本,科学研究工作人员表述说,"开发人员好像已经试着修补这一漏洞,但应用软件中依然沒有被彻底修补","针对v7.93,她们好像彻底禁止使用了推送媒体文件的作用。大家乃至没法在手机彩信中附加文件。在v7.94中,她们沒有禁止使用在应用软件中提交媒体文件的作用,但媒体文件好像沒有传出去...... 无论是否有额外媒体文件,收货人都不能收到一切文字信息。因此,来看她们已经试着修补最底层压根的漏洞。"
Trustwave表明,现阶段都还没得到来源于GO SMS Pro精英团队的联络。
科学研究工作人员说,"大家唯一的营销渠道是根据群众文化教育,来阻拦客户再次冒着风险性去应用它们的比较敏感相片、短视频和视频语音信息","由于旧数据信息依然也有风险性,而且被客户积极地泄漏,再加之欠缺沟通交流或沒有针对手机软件开展全方位的修补,大家也觉得Google将这一款运用下线是个好的作法。"
文中翻譯自:https://threatpost.com/android-messenger-app-leaking-photos-videos/161741/倘若转截,请标明全文详细地址。