۰
plusresetminus
دوشنبه ۳ آذر ۱۳۹۹ ساعت ۰۱:۰۰

اشتباه فاجعه‌بار اپلیکیشن GO SMS Pro و سکوت سازندگان

ایتنا - ظاهرا این اپ فایل‌های به اشتراک گذاشته شده را بر روی یک سرور دوردست آپلود کرده و یک URL را تولید می‌کرد به طوری که همه می‌توانستند این فایل را ببینند حتی در صورتی که از GO SMS Pro استفاده نمی‌کردند.
اشتباه فاجعه‌بار اپلیکیشن GO SMS Pro و سکوت سازندگان
یک اپ اندرویدی جایگزین SMS که زمانی محبوب بوده ظاهرا هرگونه عکس، ویدئو یا فایلی که کاربرانش به اشتراک می‌گذاشته‌اند را درز داده است و توسعه‌دهندگانش هم وقتی درباره این نقیصه امنیتی اعلان دریافت کرده‌اند به راحتی در قبال آن سکوت کرده‌اند.
 
به گزارش ایتنا و به نقل از اسلش‌گیر، اپ GO SMS Pro، که تنها یکی از بسیار اپ‌های تحت برند GO است که در Google Play Store قابل دسترسی است، در اوائل دوران اندروید که اپهای SMS طرف ثالث بسیار مطرح بودند محبوبیت یافت. این اپ‌ها تلاش کردند تا قابلیت‌های پیشرفته‌ای را ارائه کنند که فراتر از آن چیزی باشد که SMS قدیمی ساده قادر به انجام آن است، از جمله اشتراک‌گذاری عکس‌ها و ویدئوها با کاربران دیگر. این اپ به شکلی بسیار ساده ولی، متاسفانه، همچنین ناامن این سرویس‌ها را به اجرا در آورده است.
 
ظاهرا این اپ فایل‌های به اشتراک گذاشته شده را بر روی یک سرور دوردست آپلود کرده و یک URL را تولید می‌کرد به طوری که همه می‌توانستند این فایل را ببینند حتی در صورتی که از GO SMS Pro استفاده نمی‌کردند.
متاسفانه، آن «همه» به معنای واقعی کلمه همگان را شامل می‌شده چرا که این فایلها رمزگشایی شده بودند و لینک‌ها به آنها به سادگی به صورت متوالی به شکلی قابل پیش‌بینی شماره‌گذاری می‌شده‌اند. به عبارت دیگر، وقتی یک فرد ماهر به چنان لینکی دسترسی پیدا می‌کرد، به راحتی می‌توانست تمام فایلهای ذخیره شده بر روی سرور را مرور کند، فایل‌هایی که شامل اسکرین‌شات‌هایی از اطلاعات محرمانه و خصوصی بودند.
 


بدتر آنکه توسعه‌دهندگان این اپ کاملا در پاسخ به این گزارش سکوت اختیار کرده‌اند. وبسایت Trustwave (که این مساله را کشف کرده) در ماه اوت به عنوان بخشی از رویه‌های علنی‌سازی تلاش کرد تا با توسعه‌دهندگان این اپ تماس برقرار کند. بعد از آنکه ایمیل آنها بی‌پاسخ ماند، پس از سه ماه این پژوهشگران امنیتی تصمیم به علنی کردن این نقیصه کردند.
 
مسلما این رفتار چیزی نیست که چک‌های امنیتی Google Play Store به آسانی قادر به تشخیص آن باشند چرا که یک رفتار سمت سرور است. حتی این وضعیت برخلاف خط مشی اندروید نیز نبوده است، هرچند که نشانگر وجود خلاء‌های مهمی در روش‌های امنیتی گوگل است.
 
کد مطلب: 63105
نام شما
آدرس ايميل شما

بنظر شما مهم‌ترین وظیفه دولت جدید در حوزه IT چیست؟
حمایت از بخش خصوصی حوزه فاوا
افزایش سرعت اینترنت
کاهش تعرفه اینترنت
رفع فیلترینگ