En populÀr Google Messages-ersÀttning exponerade privat anvÀndardata

En populÀr Google Messages-ersÀttning exponerade privat anvÀndardata

Go SMS Pro, en populÀr sms-app frÄn tredje part med över 100 miljoner installationer som försvinner frÄn sin Google Play-lista, har precis visat sig levereras med ett kritiskt fel.

SÀkerhetsforskare pÄ företaget TrustWave fann att appen exponerade anvÀndardata slarvigt genom att ladda upp filer som delas pÄ appen till en offentlig URL. Efter att ha försökt och misslyckats med att kontakta apputvecklarna, kontaktade de folket över kl TechCrunch med sina fynd.

TechCrunch förklarade:

NĂ€r en Go SMS Pro-anvĂ€ndare skickar ett foto, en video eller annan fil till nĂ„gon som inte har appen installerad laddar appen upp filen till sina servrar och lĂ„ter anvĂ€ndaren dela en webbadress via textmeddelande sĂ„ att mottagaren kan se filen utan att installera appen. Men forskarna fann att dessa webbadresser var sekventiella. Faktum Ă€r att varje gĂ„ng en fil delades – Ă€ven mellan appanvĂ€ndare – skulle en webbadress genereras oavsett. Det innebar att alla som kĂ€nde till den förutsĂ€gbara webbadressen kunde ha cyklat igenom miljontals olika webbadresser till anvĂ€ndarnas filer.

Forskarna noterade att Ă€ven om det inte var möjligt att rikta in sig pĂ„ nĂ„gon enskild anvĂ€ndare Go SMS Pro, kunde nĂ„gon kasta ett enormt fisknĂ€t och muddra upp en massa privat data. TechCrunch kunde hitta “personens telefonnummer, en skĂ€rmdump av en banköverföring, en orderbekrĂ€ftelse inklusive nĂ„gons hemadress, ett arresteringsprotokoll” och flera kompromitterande bilder. Apputvecklarna har gĂ„tt AWOL under tiden, sĂ„ det Ă€r inte troligt att detta skulle fixas snart.

NĂ„gra av Androids bĂ€sta funktioner Ă€r dess anpassningsbarhet och modularitet. Du kan byta ut delar av telefonens programvara med versioner frĂ„n tredje part som skapats av andra utvecklare. Det krĂ€ver att mycket förtroende överlĂ€mnas till utvecklare – sĂ€rskilt nĂ€r det kommer till data som SMS-meddelanden – och ibland belönas inte det förtroendet.

Även om appen har över hundra miljoner nedladdningar, Ă€r det inte klart hur mĂ„nga av dem som Ă€r nya. De flesta Android-telefoner som sĂ€ljs 2020 levereras med Google Messages som standardmeddelandeapp, och anvĂ€ndare föredrar att anvĂ€nda end-to-end-krypterade appar som Telegram och WhatsApp Ă€ndĂ„. Om du har den hĂ€r appen installerad sĂ€ger det sig sjĂ€lvt att du förmodligen borde avstĂ„ frĂ„n den.