研究人员表示,自11月披露一个重大安全漏洞以来,GO SMS PRO 的Android应用已经在Google Play上发布了两个新版本--但都没有修复原来的漏洞,这使得1亿用户面临着隐私被侵犯的风险。
与此同时,大量针对该漏洞的利用工具已经被广泛的发布传播。
根据Trustwave SpiderLabs的说法,该公司最初发现了一个安全漏洞,可以利用该漏洞使流行的应用程序Messenger发送的私人语音邮件,使视频邮件和照片发生泄漏。
当用户使用GO SMS Pro发送一条媒体信息时,即使收件人没有安装应用程序,也可以收到该信息。在这种情况下,媒体文件会以URL的形式通过短信发送给收件人,所以对方可以通过点击链接在浏览器窗口中查看媒体文件。 但问题是,查看内容时不需要通过认证,所以任何人只要有链接(链接也可以猜到)就可以点击进入查看内容。
根据Trustwave的说法,"仅通过一些非常小的细节,在众多的人群中查找一个人是不现实的" ,"虽然不能直接将媒体的内容与特定的用户联系起来,但那些带有姓名,面部或其他识别特征的媒体文件却可以做到这一点。"
11月19日,在原Trustwave咨询发布会的前一天,该应用的新版本被上传到了Play Store;随后很快在11月23日发布了第二个更新版本。Trustwave目前已经测试了v7.93和v7.94这两个版本。
研究人员在周二的一篇文章中解释说,"我们可以确定,原始的媒体漏洞仍然可以使用,"换句话说,以前已经发送的信息仍然可以访问。"这包括不少敏感数据,比如驾驶执照、医疗保险账号、法律文件,当然还有更'浪漫'的图片。"
不幸的是,网络骗子很快就利用了这个漏洞。根据Trustwave的说法,"在Pastebin和Github等网站上发布的利用这个漏洞的工具和脚本多如牛毛"。"许多流行的工具每天都在更新,而且是第三次或第四次修订。我们还看到了地下论坛直接分享的从GO SMS服务器下载的图片。"
至于新版本,研究人员解释说,"开发者似乎正在尝试修复这个漏洞,但应用程序中仍然没有被完全修复","对于v7.93,他们似乎完全禁用了发送媒体文件的功能。我们甚至无法在彩信中附加文件。在v7.94中,他们没有禁用在应用程序中上传媒体文件的功能,但媒体文件似乎没有发出去...... 无论有没有附加媒体文件,收件人都收不到任何文本信息。所以,看来他们正在尝试修复底层根本的漏洞。"
Trustwave表示,目前还没有收到来自GO SMS Pro团队的联系。
研究人员说,"我们唯一的渠道是通过公众教育,来阻止用户继续冒着风险去使用他们的敏感照片、视频和语音信息","鉴于旧数据仍然还有风险,并且被用户主动地泄露,再加上缺乏沟通或没有对于软件进行全面的修复,我们也认为谷歌将这款应用下架是个好的做法。"
本文翻译自:https://threatpost.com/android-messenger-app-leaking-photos-videos/161741/如若转载,请注明原文地址。
