L’application GO SMS Pro expose toujours vos médias

L’application GO SMS Pro sur Android a publié deux nouvelles versions sur Google Play depuis qu’une faille de sécurité majeure a été révélée en Novembre – mais aucunes de ces versions ne résolvent le problème d’origine, laissant 100 millions d’utilisateurs exposés à des violations de la vie privée, ont déclaré les chercheurs.

Pendant ce temps, une série d’outils d’exploitation ont été déployés dans la nature pour cette faille de sécurité de GO SMS Pro.

Trustwave SpiderLabs a découvert cette vulnérabilité qui peut être exploité pour exposer publiquement des messages vocaux privés, des vidéo et des photos envoyées à l’aide de la populaire application de messagerie.

Avec GO SMS Pro, lorsqu’un utilisateur envoie un message multimédia, le destinataire peut le recevoir même s’il n’a pas lui-même installé l’application. Dans ce cas, le fichier multimédia est envoyé au destinataire sous forme d’URL via SMS, afin que la personne puisse cliquer sur le lien pour afficher le fichier multimédia dans une fenêtre de navigateur. Le problème est qu’aucune authentification n’est requise pour afficher le contenu, de sorte que toute personne disposant du lien (et les liens peuvent être devinables) peut cliquer sur le contenu.

«Avec quelques scripts très mineurs, il est trivial de jeter un large filet autour de ce contenu», selon Trustwave. “Bien qu’il ne soit pas directement possible de lier le média à des utilisateurs spécifiques, les fichiers multimédias avec des visages, des noms ou d’autres caractéristiques d’identification le font pour vous.”

go sms pro

Une nouvelle version de l’application a été déployée sur le Play Store la veille de l’avis initial de Trustwave le 19 novembre; suivi rapidement par une deuxième version sortie le 23 novembre. Trustwave a maintenant testé les deux versions, en particulier la v7.93 et ​​la v7.94.

«Nous pouvons confirmer que les anciens médias utilisés pour vérifier la vulnérabilité d’origine sont toujours disponibles», ont expliqué les chercheurs dans un article. En d’autres termes, les anciens messages qui ont été envoyés sont toujours accessibles. “Cela inclut un certain nombre de données sensibles telles que les permis de conduire, les numéros de compte d’assurance maladie, les documents juridiques et, bien sûr, des photos de nature plus ‘intimes’.”

go sms pro

Malheureusement, les cybercriminels ont rapidement exploité le problème, avec «plus d’outils et de scripts publiés pour l’exploiter sur des sites tels que Pastebin et Github», selon Trustwave. «Plusieurs outils populaires sont mis à jour quotidiennement et lors de leur troisième ou quatrième révision. Nous avons également vu des forums clandestins partager des images téléchargées directement à partir de serveurs de GO SMS Pro. »

Les nouvelles versions de l’application GO SMS Pro

En ce qui concerne les nouvelles versions de GO SMS Pro, «Il semble que [le développeur] tente de résoudre le problème, mais un correctif complet n’est toujours pas disponible dans l’application», ont expliqué les chercheurs. «Pour la version 7.93, il semble qu’ils ont désactivé la possibilité d’envoyer complètement des fichiers multimédias. Nous n’avons même pas pu joindre des fichiers à un message MMS. Dans la v7.94, ils ne bloquent pas la possibilité de télécharger des médias dans l’application, mais les médias ne semblent aller nulle part … le destinataire ne reçoit aucun texte réel avec ou sans média attaché. Il semble donc qu’ils essaient de résoudre le problème à la racine. »

Trustwave a déclaré qu’ils n’avaient toujours pas réussi à contacter l’équipe GO SMS Pro.

«Notre seule solution est l’éducation du public pour empêcher les utilisateurs de continuer à risquer leurs photos, vidéos et messages vocaux sensibles», ont déclaré les chercheurs. “Étant donné que les anciennes données sont toujours à risque et sont activement divulguées, en plus du manque de communication ou de correctifs complets, nous pensons également que ce serait une bonne idée pour Google de supprimer cette application.”

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires