安卓GO SMS PRO仍在泄露照片及视频挑战

研究人员表示，自11月披露一个重大安全漏洞以来，GO SMS PRO 的Android应用已经在Google Play上发布了两个新版本--但都没有修复原来的漏洞，这使得1亿用户面临着隐私被侵犯的风险。

与此同时，大量针对该漏洞的利用工具已经被广泛的发布传播。

根据Trustwave SpiderLabs的说法，该公司最初发现了一个安全漏洞，可以利用该漏洞使流行的应用程序Messenger发送的私人语音邮件，使视频邮件和照片发生泄漏。

当用户使用GO SMS Pro发送一条媒体信息时，即使收件人没有安装应用程序，也可以收到该信息。在这种情况下，媒体文件会以URL的形式通过短信发送给收件人，所以对方可以通过点击链接在浏览器窗口中查看媒体文件。 但问题是，查看内容时不需要通过认证，所以任何人只要有链接(链接也可以猜到)就可以点击进入查看内容。

根据Trustwave的说法，"仅通过一些非常小的细节，在众多的人群中查找一个人是不现实的" ，"虽然不能直接将媒体的内容与特定的用户联系起来，但那些带有姓名，面部或其他识别特征的媒体文件却可以做到这一点。"

11月19日，在原Trustwave咨询发布会的前一天，该应用的新版本被上传到了Play Store;随后很快在11月23日发布了第二个更新版本。Trustwave目前已经测试了v7.93和v7.94这两个版本。

研究人员在周二的一篇文章中解释说，"我们可以确定，原始的媒体漏洞仍然可以使用，"换句话说，以前已经发送的信息仍然可以访问。"这包括不少敏感数据，比如驾驶执照、医疗保险账号、法律文件，当然还有更'浪漫'的图片。"

不幸的是，网络骗子很快就利用了这个漏洞。根据Trustwave的说法，"在Pastebin和Github等网站上发布的利用这个漏洞的工具和脚本多如牛毛"。"许多流行的工具每天都在更新，而且是第三次或第四次修订。我们还看到了地下论坛直接分享的从GO SMS服务器下载的图片。"

至于新版本，研究人员解释说，"开发者似乎正在尝试修复这个漏洞，但应用程序中仍然没有被完全修复"，"对于v7.93，他们似乎完全禁用了发送媒体文件的功能。我们甚至无法在彩信中附加文件。在v7.94中，他们没有禁用在应用程序中上传媒体文件的功能，但媒体文件似乎没有发出去...... 无论有没有附加媒体文件，收件人都收不到任何文本信息。所以，看来他们正在尝试修复底层根本的漏洞。"

Trustwave表示，目前还没有收到来自GO SMS Pro团队的联系。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!