اشتباه فاجعه‌بار اپلیکیشن GO SMS Pro و سکوت سازندگان

کمیته رکن چهارم – ظاهرا این اپ فایل‌های به اشتراک گذاشته شده را بر روی یک سرور دوردست آپلود کرده و یک URL را تولید می‌کرد به طوری که همه می‌توانستند این فایل را ببینند حتی در صورتی که از GO SMS Pro استفاده نمی‌کردند.

یک اپ اندرویدی جایگزین SMS که زمانی محبوب بوده ظاهرا هرگونه عکس، ویدئو یا فایلی که کاربرانش به اشتراک می‌گذاشته‌اند را درز داده است و توسعه‌دهندگانش هم وقتی درباره این نقیصه امنیتی اعلان دریافت کرده‌اند به راحتی در قبال آن سکوت کرده‌اند.

اپ GO SMS Pro، که تنها یکی از بسیار اپ‌های تحت برند GO است که در Google Play Store قابل دسترسی است، در اوائل دوران اندروید که اپهای SMS طرف ثالث بسیار مطرح بودند محبوبیت یافت. این اپ‌ها تلاش کردند تا قابلیت‌های پیشرفته‌ای را ارائه کنند که فراتر از آن چیزی باشد که SMS قدیمی ساده قادر به انجام آن است، از جمله اشتراک‌گذاری عکس‌ها و ویدئوها با کاربران دیگر. این اپ به شکلی بسیار ساده ولی، متاسفانه، همچنین ناامن این سرویس‌ها را به اجرا در آورده است.

ظاهرا این اپ فایل‌های به اشتراک گذاشته شده را بر روی یک سرور دوردست آپلود کرده و یک URL را تولید می‌کرد به طوری که همه می‌توانستند این فایل را ببینند حتی در صورتی که از GO SMS Pro استفاده نمی‌کردند.
متاسفانه، آن «همه» به معنای واقعی کلمه همگان را شامل می‌شده چرا که این فایلها رمزگشایی شده بودند و لینک‌ها به آنها به سادگی به صورت متوالی به شکلی قابل پیش‌بینی شماره‌گذاری می‌شده‌اند. به عبارت دیگر، وقتی یک فرد ماهر به چنان لینکی دسترسی پیدا می‌کرد، به راحتی می‌توانست تمام فایلهای ذخیره شده بر روی سرور را مرور کند، فایل‌هایی که شامل اسکرین‌شات‌هایی از اطلاعات محرمانه و خصوصی بودند.

بدتر آنکه توسعه‌دهندگان این اپ کاملا در پاسخ به این گزارش سکوت اختیار کرده‌اند. وبسایت Trustwave (که این مساله را کشف کرده) در ماه اوت به عنوان بخشی از رویه‌های علنی‌سازی تلاش کرد تا با توسعه‌دهندگان این اپ تماس برقرار کند. بعد از آنکه ایمیل آنها بی‌پاسخ ماند، پس از سه ماه این پژوهشگران امنیتی تصمیم به علنی کردن این نقیصه کردند.

مسلما این رفتار چیزی نیست که چک‌های امنیتی Google Play Store به آسانی قادر به تشخیص آن باشند چرا که یک رفتار سمت سرور است. حتی این وضعیت برخلاف خط مشی اندروید نیز نبوده است، هرچند که نشانگر وجود خلاء‌های مهمی در روش‌های امنیتی گوگل است.

منبع : ایتنا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.