افشاء میلیونها فایل چندرسانهای توسط آسیبپذیری برنامه اندرویدی GO SMS Pro
GO SMS Pro یک برنامه پیامرسان محبوب برای سیستمعامل Android با بیش از 100 میلیون نصب است که دارای یک نقص امنیتی برطرف نشده میباشد، این نقص امنیتی رسانه منتقل شده بین کاربران از جمله پیامهای صوتی خصوصی، عکسها و فیلمها را به صورت عمومی نشان میدهد.
براساس گزارش Trustwave SpiderLabs، این نقص امنیتی در نسخه 7.91 برنامه مشاهده شده است که در 18 فوریه سال 2020 در فروشگاه Google Play منتشر شد.
علیرغم گزارشهای ارسال شده به سازندگان برنامه، پس از کشف این نقص امنیتی دو آپدیت جداگانه برای این برنامه منتشر شده است که همچنان دارای نقص مذکور میباشند.
اگر گیرنده برنامه GO SMS Pro را روی دستگاه خود داشته باشد، رسانه به طور خودكار در داخل برنامه نمایش داده می شود. اما اگر گیرنده برنامه GO SMS Pro را نصب نكرده باشد، پرونده رسانه به عنوان یك URL از طریق SMS به گیرنده ارسال میشود. سپس کاربر میتواند روی پیوند كلیك كرده و از طریق مرورگر پرونده رسانه را مشاهده كند.
این پیوند (به عنوان مثال "https://gs.3g.cn/D/dd1efd/w") برای هر کسی بدون احراز هویت قبلی قابل دسترسی است، صرف نظر از اینکه گیرنده برنامه را نصب کرده باشد، URL تولید می شود.
با افزایش مقادیر هگزادسیمال متوالی در URL (به عنوان مثال ، "https://gs.3g.cn/D/e3a6b4/w") این نقص امنیتی امکان مشاهده یا شنود سایر پیامهای مشترک بین کاربران دیگر را فراهم میکند. یک مهاجم میتواند با استفاده از این روش لیستی از URL ها را تولید کرده و دادههای کاربر را بدون اطلاع آنها بدزدد.
این احتمال وجود دارد که این نقص بر روی نسخه iOS نیز تأثیر بگذارد، اما تا زمانی که مشکل رفع نشده باشد، توصیه میشود از استفاده از این برنامه صرفنظر شود.
GO SMS Pro یک برنامه پیامرسان محبوب برای سیستمعامل Android با بیش از 100 میلیون نصب است که دارای یک نقص امنیتی برطرف نشده میباشد، این نقص امنیتی رسانه منتقل شده بین کاربران از جمله پیامهای صوتی خصوصی، عکسها و فیلمها را به صورت عمومی نشان میدهد.
براساس گزارش Trustwave SpiderLabs، این نقص امنیتی در نسخه 7.91 برنامه مشاهده شده است که در 18 فوریه سال 2020 در فروشگاه Google Play منتشر شد.
علیرغم گزارشهای ارسال شده به سازندگان برنامه، پس از کشف این نقص امنیتی دو آپدیت جداگانه برای این برنامه منتشر شده است که همچنان دارای نقص مذکور میباشند.
اگر گیرنده برنامه GO SMS Pro را روی دستگاه خود داشته باشد، رسانه به طور خودكار در داخل برنامه نمایش داده می شود. اما اگر گیرنده برنامه GO SMS Pro را نصب نكرده باشد، پرونده رسانه به عنوان یك URL از طریق SMS به گیرنده ارسال میشود. سپس کاربر میتواند روی پیوند كلیك كرده و از طریق مرورگر پرونده رسانه را مشاهده كند.
این پیوند (به عنوان مثال "https://gs.3g.cn/D/dd1efd/w") برای هر کسی بدون احراز هویت قبلی قابل دسترسی است، صرف نظر از اینکه گیرنده برنامه را نصب کرده باشد، URL تولید می شود.
با افزایش مقادیر هگزادسیمال متوالی در URL (به عنوان مثال ، "https://gs.3g.cn/D/e3a6b4/w") این نقص امنیتی امکان مشاهده یا شنود سایر پیامهای مشترک بین کاربران دیگر را فراهم میکند. یک مهاجم میتواند با استفاده از این روش لیستی از URL ها را تولید کرده و دادههای کاربر را بدون اطلاع آنها بدزدد.
این احتمال وجود دارد که این نقص بر روی نسخه iOS نیز تأثیر بگذارد، اما تا زمانی که مشکل رفع نشده باشد، توصیه میشود از استفاده از این برنامه صرفنظر شود.