MojAndroid

Vážne bezpečnostné chyby sa nevyhýbajú ani populárnym aplikáciam v obchode Google Play, u ktorých by používateľ čakal väčšiu kontrolu zabezpečenia. Jednou z nich je teraz podľa portálu TheHackerNews aj aplikácia Go SMS Pro, ktorá má v Google Play cez 100 miliónov stiahnutí.

Na chybu boli vývojári upozornení, ale nereagovali

V aplikácii sa podarilo odhaliť vážnu bezpečnostnú chybu, ktorá umožňuje útočníkom prístup k odosielaným mediám. Môže pritom ísť o fotografie, videá alebo dokonca hlasové správy.

Znamená to, že každé zdielané citlivé médium medzi používateľmi tejto aplikácie je vystavené riziku zneužitia externým útočníkom alebo iným zvedavým používateľom.

Richard Tan, starší bezpečnostný konzultant spoločnosti  Trustwave SpiderLabs

Práve podľa spoločnosti Trustwave SpiderLabs sa chyba objavila už vo verzii aplikácie s označením 7.91, ktorá bola v Google Play publikovaná 18. februára. Bezpečnostná spoločnosť tvrdí, že už od augusta kontaktovala tvorcov aplikácie niekoľkokrát, ale žiadnu odpoveď nedostala. Aplikácia bola pritom aktualizovaná na verziu 7.92 ešte 29. septembra a tento týždeň dostala ďalšiu aktualizáciu. V zozname zmien ale nie je zmienka o oprave odhalenej bezpečnostnej chyby.

V čom spočíva bezpečnostná chyba?

Chyba sa prejavuje v prípadoch, keď druhá strana respektíve príjemca nemá nainštalovanú aplikáciu Go SMS Pro. V tom prípade sa mu odoslaný súbor zobrazí ako url link na stiahnutie. Problém je, že tento link je prístupný každému bez akejkoľvek autentifikácie. Príkladom je tento odoslaný link. Ak ho teda niekto získa, tak z neho bez problémov stiahne odoslaný obrázok, fotografiu, video alebo hlasovú správu.

Problém je ešte vážnejší v tom, že tieto linky sú u konkrétneho používateľa veľmi podobné. Ak teda útočník získa v rámci SMS jeden takýto link, tak si môže poľahky vygenerovať aj ďalšie potenciálne linky. Následne sa môže dostať aj k iným multimediálnym súborom používateľa, ktoré odoslal a sú uložené na serveroch tejto služby.

Alternatívou sú Správy Google

Portál TheHackerNews už kvôli chybe kontaktoval vývojárov aplikácie, ale rovnako ako bezpečnostná spoločnosť Trustwave SpiderLabs zatiaľ nedostal odpoveď. Minimálne kým nebude chyba opravená, tak neodporúčame používanie aplikáciu Go SMS Pro. Výbornou alternatívou sú Správy Google, ktoré podporujú RCS správy a Google už v nich pracuje aj na integrácii end-to-end šifrovania.

Náš tip
Android 11 môžete neoficiálne nainštalovať na tieto smartfóny
22.11.2020

Pravidlá diskusie

Portál MojAndroid.sk si vyhradzuje právo zmazať neslušné, rasistické a vulgárne príspevky, ako aj osobné útoky na redakciu, či diskutérov v komentároch pod článkom bez ďalšieho upozornenia. V prípade uverejňovania odkazov na externé stránky, je komentár automaticky preposlaný do redakcie na schválenie.

+