破億下載的簡訊 App 遭爆有漏洞!秘密照片、文件所有人都看得到
於 Google Play 累積下載次數突破一億的簡訊軟體 Go SMS Pro(GO短信加强版),遭傳有嚴重的漏洞,用戶之間彼此傳送的私密文件、照片恐遭到外人查看。
Go SMS Pro 主要是一款用於取代簡訊的 App,網路安全公司 Trustwave 調查發現,當用戶上傳檔案(影片、照片、文件)給另外一名用戶時,如果接收方沒有安裝 Go SMS Pro,系統會將檔案上傳至官方的伺服器,並自動生成一串網址,方便接收者查看檔案內容。
問題在於,網址的數字是固定、連續的,任何人進入都不需要身份驗證,意味只要更改順序,就能查看他人傳送的檔案,即便是你不曾聯繫過的用戶。
外媒《TechCrunch》透過 Trustwave 的方法測試,證實漏洞的存在,且在一連串的連結中,不僅能得知電話號碼,還看到了銀行轉帳明細截圖、有住址在內的網路訂單確認,甚至是遭到警方逮捕的紀錄,且照片是具有一定清晰度,足以識別相關資訊。
Trustwave 進一步指出,他們從 8 月就開始聯繫 Go SMS Pro 的開發人員,通知官方進行修補,結果並未能獲得任何回應,至今漏洞也仍舊存在,外媒《The Verge》、《TechCrunch》嘗試透過 Play Store 提供的聯絡資訊,則皆是因信箱已滿信件遭到退回,官方似乎未持續維護 App,呼籲使用者別再下載使用了。
《你可能還想看…》
一秒全破解、兩百萬人都在用!2020 年度最爛密碼出爐