Σάββατο, 20 Φεβρουαρίου, 16:05
Αρχική security GO SMS Pro: Η δημοφιλής chat εφαρμογή εκθέτει μηνύματα χρηστών

GO SMS Pro: Η δημοφιλής chat εφαρμογή εκθέτει μηνύματα χρηστών

Η GO SMS Pro, μια δημοφιλής Android chat εφαρμογή, με 100 εκατομμύρια λήψεις, εκθέτει ιδιωτικά μηνύματα (κυρίως αρχεία πολυμέσων) που στέλνουν μεταξύ τους οι χρήστες.

GO SMS Pro

Σύμφωνα με τους ερευνητές ασφαλείας της Trustwave, η εφαρμογή GO SMS Pro έχει μια ευπάθεια, η οποία μπορεί να χρησιμοποιηθεί από τρίτους για την απόκτηση πρόσβασης σε ιδιωτικά φωνητικά μηνύματα, βίντεο και φωτογραφίες που μοιράζονται οι χρήστες.

Πώς εκτίθενται τα ιδιωτικά μηνύματα;

Τα ιδιωτικά αρχεία media που αποστέλλονται από χρήστες σε επαφές που δεν έχουν εγκαταστήσει την εφαρμογή στις συσκευές τους, μπορούν να παραβιαστούν μέσω των servers της εφαρμογής. Αυτό γίνεται με τη χρήση μιας συντομευμένης διεύθυνσης URL που ανακατευθύνει σε έναν content delivery network (CDN) server, που χρησιμοποιεί η GO SMS Pro για την αποθήκευση όλων των αρχείων που έχουν σταλεί.

Αυτές οι συντομευμένες διευθύνσεις URL δημιουργούνται διαδοχικά (με hexadecimal counter) κάθε φορά που ένα αρχείο κοινοποιείται μεταξύ των χρηστών και αποθηκεύεται στον CDN server.

chat

Αυτό επιτρέπει σε οποιονδήποτε να δει τα ιδιωτικά μηνύματα (αρχεία) που στέλνουν οι χρήστες της εφαρμογής μεταξύ τους.

Οι ερευνητές της Trustwave δήλωσαν ότι είναι πολύ εύκολο να δημιουργηθεί ένα απλό script που θα δημιουργούσε γρήγορα μια λίστα με διευθύνσεις που συνδέονται με φωτογραφίες και βίντεο που έχουν σταλεί μέσω της GO SMS Pro.

Παίρνοντας τα δημιουργημένα URL και επικολλώντας τα στην multi-tab επέκταση στον Chrome ή στον Firefox, μπορείς εύκολα να αποκτήσεις πρόσβαση σε ιδιωτικά (και ενδεχομένως ευαίσθητα) αρχεία πολυμέσων που αποστέλλονται από χρήστες αυτής της εφαρμογής“, εξήγησαν.

Η Trustwave αποφάσισε να αποκαλύψει δημόσια την ευπάθεια που καθιστά ευάλωτη την Android chat εφαρμογή, καθώς προσπάθησε να επικοινωνήσει με τον προγραμματιστή της εφαρμογής και δεν βρήκε ανταπόκριση. Οι ερευνητές ήρθαν σε επικοινωνία με τον προγραμματιστή στις 18 Αυγούστου, και αφού δεν έλαβαν απάντηση σε άλλα τρία emails που στάλθηκαν τον Σεπτέμβριο, τον Οκτώβριο και νωρίτερα αυτήν την εβδομάδα, αποφάσισαν να αποκαλύψουν την ευπάθεια.

Πηγή: Bleeping Computer

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...

YouTube: Μπορείτε να αναπαράγετε βίντεο 4K σε συσκευές με οθόνες χαμηλής ανάλυσης

Η εφαρμογή Youtube σε Android σας επιτρέπει να αναπαράγετε βίντεο με ανάλυση έως 4K. Το μόνο που χρειάζεστε είναι ένα τηλέφωνο με...

Top θέσεις Software Engineering και δεξιότητες coding για το 2021

Λόγω του COVID-19, οι προσπάθειες πρόσληψης και οι ευκαιρίες απασχόλησης σημείωσαν σημαντική πτώση πέρυσι. Ωστόσο, ο κλάδος της τεχνολογίας αποδείχθηκε πιο ανθεκτικός...
00:10:13

Phishing emails: Πώς να τα αναγνωρίσετε και πώς να προστατευτείτε;

https://www.youtube.com/watch?v=iME-CzlKVzc Το phishing είναι ίσως η μεγαλύτερη απειλή στον κυβερνοχώρο εδώ και περισσότερα από πέντε χρόνια. Γι΄...