安卓GO SMS PRO仍在泄露照片及視頻問題
研究人員表示,自11月披露一個重大安全漏洞以來,GO SMS PRO 的Android應用已經在Google Play上發布了兩個新版本--但都沒有修復原來的漏洞,這使得1億用戶面臨著隱私被侵犯的風險。
與此同時,大量針對該漏洞的利用工具已經被廣泛的發布傳播。
根據Trustwave SpiderLabs的說法,該公司最初發現了一個安全漏洞,可以利用該漏洞使流行的應用程序Messenger發送的私人語音郵件,使視頻郵件和照片發生泄漏。
根據Trustwave的說法,"僅通過一些非常小的細節,在眾多的人群中查找一個人是不現實的" ,"雖然不能直接將媒體的內容與特定的用戶聯繫起來,但那些帶有姓名,面部或其他識別特徵的媒體文件卻可以做到這一點。"
11月19日,在原Trustwave諮詢發布會的前一天,該應用的新版本被上傳到了Play Store;隨後很快在11月23日發布了第二個更新版本。Trustwave目前已經測試了v7.93和v7.94這兩個版本。
研究人員在周二的一篇文章中解釋說,"我們可以確定,原始的媒體漏洞仍然可以使用,"換句話說,以前已經發送的信息仍然可以訪問。"這包括不少敏感數據,比如駕駛執照、醫療保險賬號、法律文件,當然還有更"浪漫"的圖片。"
不幸的是,網路騙子很快就利用了這個漏洞。根據Trustwave的說法,"在Pastebin和Github等網站上發布的利用這個漏洞的工具和腳本多如牛毛"。"許多流行的工具每天都在更新,而且是第三次或第四次修訂。我們還看到了地下論壇直接分享的從GO SMS伺服器下載的圖片。"
至於新版本,研究人員解釋說,"開發者似乎正在嘗試修復這個漏洞,但應用程序中仍然沒有被完全修復","對於v7.93,他們似乎完全禁用了發送媒體文件的功能。我們甚至無法在彩信中附加文件。在v7.94中,他們沒有禁用在應用程序中上傳媒體文件的功能,但媒體文件似乎沒有發出去...... 無論有沒有附加媒體文件,收件人都收不到任何文本信息。所以,看來他們正在嘗試修復底層根本的漏洞。"
Trustwave表示,目前還沒有收到來自GO SMS Pro團隊的聯繫。
研究人員說,"我們唯一的渠道是通過公眾教育,來阻止用戶繼續冒著風險去使用他們的敏感照片、視頻和語音信息","鑒於舊數據仍然還有風險,並且被用戶主動地泄露,再加上缺乏溝通或沒有對於軟體進行全面的修復,我們也認為谷歌將這款應用下架是個好的做法。"
參考及來源:https://threatpost.com/android-messenger-app-leaking-photos-videos/161741/
