GO SMS Pro, Siber güvenlik araştırmacılarının popüler mesajlaşma uygulamasındaki bir kusuru açıklamasından bir hafta sonra, uygulamanın geliştiricilerinin sorunu perde arkasından çözmek için sessizce adımlar attığı görülüyor.
Güvenlik yanlış adım da, saldırganın kimliği doğrulanmamış bir, umuma açık sunucuda depolanan özel sesli mesajları gibi fotoğraflar ve videolar da dahil olmak üzere kullanıcıları arasındaki transfer erişim medya dosyalarına önemsiz bir komut ile gelip için yapılmış.
Davranış, Android için GO SMS Pro’nun 7.91 sürümünde gözlemlense de, uygulama üreticileri o zamandan beri ardı ardına üç güncelleme yayınladı bunlardan ikisi (v7.93 ve v7.94) kusurun kamuya açıklanmasının ardından Google Play Store‘a aktarıldı. ve Google’ın uygulamayı ticaret sitesinden kaldırması. Google, uygulamayı 23 Kasım’da Play Store’a geri getirdi.
Go SMS Pro Yaması Kullanıcıların Verilerini Çevrimiçi Olarak Açığa Çıkardı
Şimdi güncellenmiş sürümleri bir analizini takiben Trustwave araştırmacılar söyledi: “GOMO sorunu gidermek için çalışıyor, ama tam bir düzeltme hala uygulamasında kullanılamaz.”
Uygulamanın v7.93 sürümü, geliştiricilerin medya dosyalarını gönderme yeteneğini tamamen kapattığını görürken, bir sonraki güncelleme (v7.94) bozuk bir biçimde de olsa işlevselliği geri getirdi
Araştırmacılar, “v7.94’te, uygulamaya medya yükleme yeteneğini engellemiyorlar, ancak medya hiçbir yere gitmiyor” dedi. “Alıcı, medyayla birlikte veya medyasız herhangi bir gerçek metin almıyor. Bu nedenle, asıl sorunu çözmeye çalışıyor gibi görünüyor.”
Dahası, Trustwave, sürücü ehliyetleri, sağlık sigortası hesap numaraları, yasal belgeler ve daha “romantik” nitelikteki fotoğraflar gibi hassas bilgilerin önbelleği dahil olmak üzere danışma öncesinde paylaşılan eski medyanın hala erişilebilir olduğunu doğruladı.
Sorunlu bir şekilde, Pastebin ve Github’da bu güvenlik açığından yararlanan yalnızca araçlar ve istismarlar yayınlanmadı; yeraltı forumları, GO SMS sunucularından indirilen resimleri doğrudan paylaşıyor gibi görünüyor.
