Android上的GOSMSPro几个月来一直在用户的共享文件

2022-04-28 07:44:38储东保
导读 谷歌在完成RCS的全球部署以及通过端到端加密确保其在 Android 上的安全性的后续步骤方面引起了轰动。巧合的是,这一最新的安全新闻突显了

谷歌在完成RCS的全球部署以及通过端到端加密确保其在 Android 上的安全性的后续步骤方面引起了轰动。巧合的是,这一最新的安全新闻突显了为什么这种发展在后短信时代至关重要。Android 上曾经流行的替代 SMS 应用程序显然已经暴露了其用户一直共享的任何照片、视频或文件,并且其开发人员在收到安全漏洞通知时方便地保持沉默。

GO SMS Pro 只是 Google Play 商店中提供的众多 GO 品牌应用程序之一,在第三方 SMS 应用程序风靡一时的 Android 早期达到了受欢迎程度。这些应用程序试图提供超出普通短信所能支持的高级功能,例如与其他用户共享照片和视频。应用程序实现这一点的方式非常简单,但不幸的是,也不安全。

该应用程序显然将共享文件上传到远程服务器并生成了一个 URL,以便任何人即使不使用 GO SMS Pro 也可以查看该文件。不幸的是,这个“任何人”实际上是任何人,因为文件没有加密,而且指向它们的链接只是以可预测的方式按顺序编号。换句话说,只要有技术的人掌握了这样的一个链接,他们就可以轻松浏览服务器上存储的所有文件,其中包括机密和私人信息的屏幕截图。

更糟糕的是,该应用程序的开发人员对报告完全没有反应。作为正当披露程序的一部分,发现该问题的Trustwave于 8 月与开发商取得了联系。一封电子邮件被退回,没有收到任何回复。三个月后,安全研究人员决定是时候将漏洞公之于众了。

诚然,这种行为不是 Google Play 商店的安全检查很容易发现的,因为它是一种服务器端行为。它甚至可能不违反任何 Android 政策,尽管它首先造成了相当明显和严重的错误,即不采用安全最佳实践。

免责声明:本文由用户上传,如有侵权请联系删除!