تطبيق المراسلة Go SMS Pro ، الذي يحتوي على أكثر من 100 مليون تثبيت من متجر Google Play ، به عيب أمني هائل من المحتمل أن يسمح للأشخاص بالوصول إلى المحتوى الحساس الذي أرسلته باستخدام التطبيق. وعلى الرغم من إبلاغ صانع التطبيق بالمشكلة منذ شهور ، إلا أنهم لم يجروا تحديثات لإصلاح ما يحدث.
لإعطائك فكرة عن مقدار المعلومات التي يتسربها التطبيق ، إليك ما تمكنت TechCrunch من العثور عليه: "عند عرض بضع عشرات من الروابط ، وجدنا رقم هاتف شخص ما ، ولقطة شاشة للتحويل المصرفي ، وتأكيد طلب يتضمن يقول زاك ويتاكر ، مراسل الأمن السيبراني: "عنوان المنزل ، وسجل الاعتقال ، والصور الأكثر وضوحًا بكثير مما كنا نتوقعه ،" ليس عظيما.
إليك ما يحدث: يقوم Go SMS Pro بتحميل كل ملف وسائط ترسله إلى الإنترنت ويجعل هذه الملفات قابلة للوصول باستخدام عنوان URL ، وفقًا لتقرير صادر عن Trustwave .
عندما ترسل رسالة باستخدام الوسائط عبر Go SMS Pro ، مثل صورة أو مقطع فيديو ، يقوم التطبيق بتحميل المحتوى إلى خوادمه ، وينشئ عنوان URL يشير إليه ، ويرسل عنوان URL هذا إلى المستلم.
إذا كان لدى المستلم Go SMS Pro أيضًا ، فسيظهر المحتوى مباشرة في الرسالة - لكن التطبيق لا يزال يقوم بتحميل الملف ولا يزال ينشئ هذا الرابط المتاح للجميع على الإنترنت.
عنوان URL هذا هو المكان الذي تكمن فيه المشكلة. لا توجد مصادقة مطلوبة للنظر في الرابط ، مما يعني أن أي شخص لديه الرابط يمكنه عرض المحتوى بداخله.
ويبدو أن عناوين URL التي تم إنشاؤها بواسطة التطبيق لها عنوان متسلسل ويمكن التنبؤ به ، مما يعني أنه يمكن لأي شخص الاطلاع على الملفات الأخرى بمجرد تغيير الأجزاء الصحيحة من عنوان URL.
من الناحية النظرية ، يمكنك حتى كتابة برنامج نصي لإنشاء عناوين URL متسلسلة تلقائيًا حتى تتمكن من العثور بسرعة على الكثير من المحتوى الخاص الذي يشاركه الأشخاص الذين يستخدمون Go SMS Pro وتصفحه.
والأسوأ من ذلك ، أن مطور التطبيق لم يستجيب ، لذلك من غير الواضح ما إذا كان سيتم إصلاح هذه الثغرة الأمنية. قالت Trustwave إنها اتصلت بالمطور أربع مرات منذ 18 أغسطس 2020 لإخطارهم بالثغرة الأمنية ، دون أي رد.
حاول موقع TechCrunch إرسال عنواني بريد إلكتروني متصلين بالتطبيق عبر البريد الإلكتروني. ارتد بريد إلكتروني إلى أحد العناوين مع رسالة مفادها أن البريد الوارد ممتلئ.
تم فتح بريد إلكتروني آخر ولكن لم يتم الرد عليه ، ولم يتم فتح بريد إلكتروني للمتابعة. حاولت The Verge الوصول إلى المطور للتعليق من خلال بريد إلكتروني مدرج في قائمة متجر Play ، لكن البريد الإلكتروني ارتد مرة أخرى برسالة "صندوق الوارد للمستلم ممتلئ". ويبدو أن موقع الويب الخاص بالمطور المدرج في قائمة متجر Play قد تعطل .
لذا ، إذا كنت تستخدم Go SMS Pro الآن وتريد منع تسرب الأشياء التي تشاركها إلى الإنترنت ، فقد ترغب في العثور على تطبيق مراسلة مختلف.