Παρασκευή, 20 Νοεμβρίου, 10:00
Αρχική security GO SMS Pro: Η δημοφιλής chat εφαρμογή εκθέτει μηνύματα χρηστών

GO SMS Pro: Η δημοφιλής chat εφαρμογή εκθέτει μηνύματα χρηστών

Η GO SMS Pro, μια δημοφιλής Android chat εφαρμογή, με 100 εκατομμύρια λήψεις, εκθέτει ιδιωτικά μηνύματα (κυρίως αρχεία πολυμέσων) που στέλνουν μεταξύ τους οι χρήστες.

GO SMS Pro

Σύμφωνα με τους ερευνητές ασφαλείας της Trustwave, η εφαρμογή GO SMS Pro έχει μια ευπάθεια, η οποία μπορεί να χρησιμοποιηθεί από τρίτους για την απόκτηση πρόσβασης σε ιδιωτικά φωνητικά μηνύματα, βίντεο και φωτογραφίες που μοιράζονται οι χρήστες.

Πώς εκτίθενται τα ιδιωτικά μηνύματα;

Τα ιδιωτικά αρχεία media που αποστέλλονται από χρήστες σε επαφές που δεν έχουν εγκαταστήσει την εφαρμογή στις συσκευές τους, μπορούν να παραβιαστούν μέσω των servers της εφαρμογής. Αυτό γίνεται με τη χρήση μιας συντομευμένης διεύθυνσης URL που ανακατευθύνει σε έναν content delivery network (CDN) server, που χρησιμοποιεί η GO SMS Pro για την αποθήκευση όλων των αρχείων που έχουν σταλεί.

Αυτές οι συντομευμένες διευθύνσεις URL δημιουργούνται διαδοχικά (με hexadecimal counter) κάθε φορά που ένα αρχείο κοινοποιείται μεταξύ των χρηστών και αποθηκεύεται στον CDN server.

chat

Αυτό επιτρέπει σε οποιονδήποτε να δει τα ιδιωτικά μηνύματα (αρχεία) που στέλνουν οι χρήστες της εφαρμογής μεταξύ τους.

Οι ερευνητές της Trustwave δήλωσαν ότι είναι πολύ εύκολο να δημιουργηθεί ένα απλό script που θα δημιουργούσε γρήγορα μια λίστα με διευθύνσεις που συνδέονται με φωτογραφίες και βίντεο που έχουν σταλεί μέσω της GO SMS Pro.

Παίρνοντας τα δημιουργημένα URL και επικολλώντας τα στην multi-tab επέκταση στον Chrome ή στον Firefox, μπορείς εύκολα να αποκτήσεις πρόσβαση σε ιδιωτικά (και ενδεχομένως ευαίσθητα) αρχεία πολυμέσων που αποστέλλονται από χρήστες αυτής της εφαρμογής“, εξήγησαν.

Η Trustwave αποφάσισε να αποκαλύψει δημόσια την ευπάθεια που καθιστά ευάλωτη την Android chat εφαρμογή, καθώς προσπάθησε να επικοινωνήσει με τον προγραμματιστή της εφαρμογής και δεν βρήκε ανταπόκριση. Οι ερευνητές ήρθαν σε επικοινωνία με τον προγραμματιστή στις 18 Αυγούστου, και αφού δεν έλαβαν απάντηση σε άλλα τρία emails που στάλθηκαν τον Σεπτέμβριο, τον Οκτώβριο και νωρίτερα αυτήν την εβδομάδα, αποφάσισαν να αποκαλύψουν την ευπάθεια.

Πηγή: Bleeping Computer

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

GO SMS Pro: Η δημοφιλής chat εφαρμογή εκθέτει μηνύματα χρηστών

Η GO SMS Pro, μια δημοφιλής Android chat εφαρμογή, με 100 εκατομμύρια λήψεις, εκθέτει ιδιωτικά μηνύματα (κυρίως αρχεία πολυμέσων) που στέλνουν μεταξύ...

Google Messages Will Automatically Delete Your OTPs After 24 Hours

An APK teardown from XDA Developers has revealed that Google Messages will automatically delete your OTPs after 24 hours. Google Messages is the default...

Hacked η Microsoft

Θύμα επίθεση hacking έπεσε ο κολοσσός του διαδικτύου, Microsoft

Nitro PDF: χιλιάδες χρήστες πιθανόν επηρεάστηκαν από παραβίαση

Χιλιάδες πολίτες της Νέας Ζηλανδίας, είναι πιθανό να έχουν επηρεαστεί από μία σοβαρή παραβίαση δεδομένων, που πραγματοποιήθηκε στο Nitro PDF, πριν από...
00:02:48

Οι επιστήμονες έλυσαν το μυστήριο για τον μπλε δακτύλιο στο διάστημα!

Οι επιστήμονες έλυσαν επιτέλους το μυστήριο σχετικά με τον λαμπερό μπλε δακτύλιο φωτός που διαφέρει από οτιδήποτε έχουν δει οι αστρονόμοι στο...

Windows 10: Πως να τερματίσετε ένα task χρησιμοποιώντας τον Task Manager

Εάν θέλετε να κλείσετε μια εφαρμογή που έχει κολλήσει στα Windows 10, μπορείτε να τερματίσετε εύκολα ένα task χρησιμοποιώντας το ενσωματωμένο βοηθητικό...

Πως να εκτελέσετε εφαρμογές iPhone και iPad σε Mac

Εάν διαθέτετε ένα Mac που υποστηρίζεται από την Apple Silicon, δεν χρειάζεται πλέον να αφαιρέσετε το iPhone ή το iPad σας για...

Έρευνα: οι αυστραλιανές εταιρείες που υιοθετούν multi-cloud είναι πιο πιθανό να πληρώσουν λύτρα

Σύμφωνα με μία έρευνα που πραγματοποιήθηκε σε αυστραλιανές επιχειρήσεις, όσες χρησιμοποιούν multi cloud διατρέχουν μεγαλύτερο κίνδυνο να εκτεθούν σε μια επίθεση ransomware...

Το skimmer Grelos δείχνει την δυσκολία εντοπισμού των επιθέσεων Magecart

Η ανακάλυψη μιας νέας παραλλαγής skimmer - το Grelos - αποκαλύπτει τις δυσκολίες που σχετίζονται με τον εντοπισμό διαφόρων καμπανιών της Magecart.

Android: Πως να εκχωρήσετε προσωρινά δικαιώματα σε εφαρμογές

Εγκαθιστούμε συχνά εφαρμογές που δεν σκοπεύουμε να χρησιμοποιήσουμε πολλές φορές. Δεν πρέπει να παραχωρήσετε μόνιμη πρόσβαση σε αυτές τις εφαρμογές στα δεδομένα...