Androidosok veszélyben

2020.11.23. 15:00

Töröljük azonnal: egy SMS-küldő csinálja a bajt

A Go SMS Pro üzenetküldő alkalmazást több mint 100 millióan telepítették a Google Play Áruházból.

Forrás: Shutterstock

De a népszerűség nem garancia: ha telepítve van a mobilra, akkor azonnal le kell állítani és törölni a telefonról. A Trustwave kiberbiztonsági cég ugyanis nemrég hatalmas biztonsági rést fedezett fel az alkalmazásban, ami

nyilvánosan hozzáférhetővé teszi az alkalmazáson keresztül elküldött összes fényképet, videót és egyéb média mellékletet.

Fotó: The Hacker News

Hogyan lehetséges ez?

A rendkívül népszerű Go SMS Pro-val elküldött összes médiafájlt a program egy szerverre menti és URL-t rendel hozzá. Pontosan ezek azok az URL-ek, amelyek egyáltalán nincsenek biztonságban, bárkinek elérhetők válnak, aki ismeri a helyes URL-t.

Ezzel a módszerrel a TechCrunch érzékeny pénzügyi információkat, otthoni címeket, tranzakciós bizonylatokat és magánjellegű fotókat talált: mindet az alkalmazáson keresztül küldték. Sajnos ezen linkek elérése még csak nem is nem korlátozódik a Go SMS Pro felhasználókra: bárki, aki megismeri az egyik link URL-felépítését, könnyen rájöhet, hogy halássza elő a többit is.

Ez óriási adatvédelmi probléma, de talán a legriasztóbb az a történetben, hogy úgy tűnik,

a Go SMS Pro fejlesztői nem rohannak megoldani a problémát.

A Trustwave még augusztusban, rögtön a biztonsági hiányosság felfedezésekor értesítette a fejlesztőket, de senki sem válaszolt. Még négy sikertelen kísérletet tettek, mielőtt nyilvánosságra hozták a hibát.

A TechCrunch és a The Verge e-maileket is küldött a fejlesztőnek, de az üzeneteket vagy figyelmen kívül hagyták, vagy a „a postaláda megtelt” közléssel pattantak vissza a feladóhoz. Egyébként az alkalmazás Play Áruház-listáján szereplő webhely sem töltődik be.

Aki már telepítette az appot, gyakorlatilag semmit nem tehet a már elküldött fájlok védelméért, de legalább most törölni kell a telefonról.

A Google végül is eltávolította a Go SMS Pro-t az áruházából, bár meglepő módon a hozzá tartozó témázó-színező alkalmazásokat a mai napig elérhetőnek hagyta, s az app még számtalan helyről letölthető.

Például ezeket javasoljuk helyette

A legegyszerűbb megoldás visszatérni a telefonok gyári üzenetküldő alkalmazásához: ilyen például a Google Messages, vagy a Samsung Üzenetek. Megoldás lehet a WhatsApp és a Facebook Messenger is, hiszen ezek a csevegőszolgáltatások működhetnek alapértelmezett SMS-küldőként is.

Akadnak olyan, harmadik fél által fejlesztett alkalmazások, amelyek kifejezetten az adatvédelemre összpontosítanak: ilyen például a Signal, a Telegram és a Viber. Ezek végpontok közötti titkosítást, sőt, automatikus, önmegsemmisítő üzenetküldési lehetőségeket is kínálnak.

Borítóképünk illusztráció

Hírlevél feliratkozás
Ne maradjon le a boon.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!