2020.11.23. 15:00
Töröljük azonnal: egy SMS-küldő csinálja a bajt
A Go SMS Pro üzenetküldő alkalmazást több mint 100 millióan telepítették a Google Play Áruházból.
Forrás: Shutterstock
De a népszerűség nem garancia: ha telepítve van a mobilra, akkor azonnal le kell állítani és törölni a telefonról. A Trustwave kiberbiztonsági cég ugyanis nemrég hatalmas biztonsági rést fedezett fel az alkalmazásban, ami
nyilvánosan hozzáférhetővé teszi az alkalmazáson keresztül elküldött összes fényképet, videót és egyéb média mellékletet.
Hogyan lehetséges ez?
A rendkívül népszerű Go SMS Pro-val elküldött összes médiafájlt a program egy szerverre menti és URL-t rendel hozzá. Pontosan ezek azok az URL-ek, amelyek egyáltalán nincsenek biztonságban, bárkinek elérhetők válnak, aki ismeri a helyes URL-t.
Ezzel a módszerrel a TechCrunch érzékeny pénzügyi információkat, otthoni címeket, tranzakciós bizonylatokat és magánjellegű fotókat talált: mindet az alkalmazáson keresztül küldték. Sajnos ezen linkek elérése még csak nem is nem korlátozódik a Go SMS Pro felhasználókra: bárki, aki megismeri az egyik link URL-felépítését, könnyen rájöhet, hogy halássza elő a többit is.
Ez óriási adatvédelmi probléma, de talán a legriasztóbb az a történetben, hogy úgy tűnik,
a Go SMS Pro fejlesztői nem rohannak megoldani a problémát.
A Trustwave még augusztusban, rögtön a biztonsági hiányosság felfedezésekor értesítette a fejlesztőket, de senki sem válaszolt. Még négy sikertelen kísérletet tettek, mielőtt nyilvánosságra hozták a hibát.
A TechCrunch és a The Verge e-maileket is küldött a fejlesztőnek, de az üzeneteket vagy figyelmen kívül hagyták, vagy a „a postaláda megtelt” közléssel pattantak vissza a feladóhoz. Egyébként az alkalmazás Play Áruház-listáján szereplő webhely sem töltődik be.
Aki már telepítette az appot, gyakorlatilag semmit nem tehet a már elküldött fájlok védelméért, de legalább most törölni kell a telefonról.
A Google végül is eltávolította a Go SMS Pro-t az áruházából, bár meglepő módon a hozzá tartozó témázó-színező alkalmazásokat a mai napig elérhetőnek hagyta, s az app még számtalan helyről letölthető.
Például ezeket javasoljuk helyette
A legegyszerűbb megoldás visszatérni a telefonok gyári üzenetküldő alkalmazásához: ilyen például a Google Messages, vagy a Samsung Üzenetek. Megoldás lehet a WhatsApp és a Facebook Messenger is, hiszen ezek a csevegőszolgáltatások működhetnek alapértelmezett SMS-küldőként is.
Akadnak olyan, harmadik fél által fejlesztett alkalmazások, amelyek kifejezetten az adatvédelemre összpontosítanak: ilyen például a Signal, a Telegram és a Viber. Ezek végpontok közötti titkosítást, sőt, automatikus, önmegsemmisítő üzenetküldési lehetőségeket is kínálnak.
Borítóképünk illusztráció