GO SMS Pro یکی از اپلیکیشنهای محبوب اندروید با بیش از ۱۰۰ میلیون نصب فعال، یک باگ امنیتی پچ نشده دارد که پیغامهای خصوصی صوتی و تصویری کاربران را بطور عمومی در معرض افشا قرار میدهد.
Richard Tan، مشاور ارشد امنیتی Trustwave، اعلام کرد که به وسیله باگGO SMS Pro یک کاربر کنجکاو یا خرابکار ،بدون تائید هویت، میتوانند به فایلهای عکس، ویدئو و صوتیای که کاربران توسط این اپلیکیشن به اشتراک گذاشتهاند، دسترسی داشته باشند.
طبق گزارش آزمایشگاه Trustwave، این ضعف در نسخه 7.91 اپلیکیشن Go SMS Pro که در تاریخ ۱۸ فوریه ۲۰۲۰ در فروشگاه google play منتشر شده است، وجود داشته. این شرکت امنیتی از زمان کشف این باگ، ۱۸ آگوست ۲۰۲۰، بارها تلاش کردند با توسعه دهندگان این اپلیکیشن تماس بگیرند ولی پاسخی دریافت نکردهاند.
اپلیکیشن GO SMS Pro در ۲۹ سپتامبر نسخه 7.92 را منتشر کرد، و در این نسخه نیز آسیبپذیری مورد بحث، رفع نشده بود.
Tan گفت: اگر دریافت کننده هم اپلیکیشن GO SMS Pro را روی دستگاهش نصب کرده باشد، فایل را روی اپلیکیشن خواهد دید. در غیر اینصورت لینک فایل (صوتی یا تصویری) به صورت پیام کوتاه به موبایل کاربر ارسال خواهد شد که با کلیک روی لینک میتواند فایلها را ببیند.
این لینک، برای مثال https://gs.3g.cn/D/e3a6b4/w، بدون هیچ احراز هویتی، توسط هر شخصی قابل دسترسی است. علاوه بر این با تغییر مقدار لینک میتوان تصادفا به آدرسهای دیگر و در نتیجه فایلهای سایر کاربران، بدون اطلاع آنها، دسترسی پیدا کرد.
به کاربران اپلیکیشن GO SMS Pro توصیه میکنیم که از ارسال فایلهای صوتی و تصویری با یکدیگر خودداری کنند تا این باگ رفع شود.
منبع: https://thehackernews.com/2020/11/warning-unpatched-bug-in-go-sms-pro-app.html
