کمیته رکن چهارم – ظاهرا این اپ فایلهای به اشتراک گذاشته شده را بر روی یک سرور دوردست آپلود کرده و یک URL را تولید میکرد به طوری که همه میتوانستند این فایل را ببینند حتی در صورتی که از GO SMS Pro استفاده نمیکردند.
یک اپ اندرویدی جایگزین SMS که زمانی محبوب بوده ظاهرا هرگونه عکس، ویدئو یا فایلی که کاربرانش به اشتراک میگذاشتهاند را درز داده است و توسعهدهندگانش هم وقتی درباره این نقیصه امنیتی اعلان دریافت کردهاند به راحتی در قبال آن سکوت کردهاند.
اپ GO SMS Pro، که تنها یکی از بسیار اپهای تحت برند GO است که در Google Play Store قابل دسترسی است، در اوائل دوران اندروید که اپهای SMS طرف ثالث بسیار مطرح بودند محبوبیت یافت. این اپها تلاش کردند تا قابلیتهای پیشرفتهای را ارائه کنند که فراتر از آن چیزی باشد که SMS قدیمی ساده قادر به انجام آن است، از جمله اشتراکگذاری عکسها و ویدئوها با کاربران دیگر. این اپ به شکلی بسیار ساده ولی، متاسفانه، همچنین ناامن این سرویسها را به اجرا در آورده است.
ظاهرا این اپ فایلهای به اشتراک گذاشته شده را بر روی یک سرور دوردست آپلود کرده و یک URL را تولید میکرد به طوری که همه میتوانستند این فایل را ببینند حتی در صورتی که از GO SMS Pro استفاده نمیکردند.
متاسفانه، آن «همه» به معنای واقعی کلمه همگان را شامل میشده چرا که این فایلها رمزگشایی شده بودند و لینکها به آنها به سادگی به صورت متوالی به شکلی قابل پیشبینی شمارهگذاری میشدهاند. به عبارت دیگر، وقتی یک فرد ماهر به چنان لینکی دسترسی پیدا میکرد، به راحتی میتوانست تمام فایلهای ذخیره شده بر روی سرور را مرور کند، فایلهایی که شامل اسکرینشاتهایی از اطلاعات محرمانه و خصوصی بودند.
بدتر آنکه توسعهدهندگان این اپ کاملا در پاسخ به این گزارش سکوت اختیار کردهاند. وبسایت Trustwave (که این مساله را کشف کرده) در ماه اوت به عنوان بخشی از رویههای علنیسازی تلاش کرد تا با توسعهدهندگان این اپ تماس برقرار کند. بعد از آنکه ایمیل آنها بیپاسخ ماند، پس از سه ماه این پژوهشگران امنیتی تصمیم به علنی کردن این نقیصه کردند.
مسلما این رفتار چیزی نیست که چکهای امنیتی Google Play Store به آسانی قادر به تشخیص آن باشند چرا که یک رفتار سمت سرور است. حتی این وضعیت برخلاف خط مشی اندروید نیز نبوده است، هرچند که نشانگر وجود خلاءهای مهمی در روشهای امنیتی گوگل است.
منبع : ایتنا
