Aplikasi perpesanan Android populer Go SMS Pro memperlihatkan jutaan data pengguna

Aplikasi perpesanan Android populer Go SMS Pro memperlihatkan jutaan data pengguna

Keluaran Hongkong

Data pribadi – termasuk foto, video, dan file lain – dari pengguna Buka aplikasi SMS Pro terungkap, menurut laporan oleh TechCrunch yang mengutip temuan peneliti keamanan di Trustwave.
Laporan tersebut mengklaim bahwa foto, video, dan file lain ini dibagikan secara pribadi oleh pengguna dan pembuat aplikasi tampaknya mengetahuinya sejak Agustus tetapi “tidak melakukan apa pun untuk memperbaiki bug”.
“Peneliti keamanan di Trustwave menemukan kekurangan tersebut pada bulan Agustus dan menghubungi pembuat aplikasi dengan tenggat waktu 90 hari untuk memperbaiki masalah tersebut, seperti praktik standar dalam pengungkapan kerentanan untuk memberikan waktu yang cukup untuk perbaikan. Tapi setelah tenggat waktu berlalu tanpa mendengar kembali, para peneliti mengumumkannya, ”kata laporan oleh TechCrunch.
Aplikasi, yang memiliki lebih dari 100 juta penginstalan di aplikasi Google Play daftar, dikatakan telah mengekspos pesan suara pribadi, pesan video, dan foto secara publik.
Untuk memahami kerentanan, pembaca harus memperhatikan bahwa aplikasi ini memungkinkan pengguna untuk berbagi file dengan siapa pun terlepas dari apakah penerima memiliki aplikasi atau tidak. Ini dilakukan dengan membagikan URL ke penerima melalui SMS dan mengklik URL ini akan memungkinkan penerima untuk melihat file media melalui browser.
Para peneliti mengklaim bahwa temuan mereka menunjukkan bahwa aplikasi memungkinkan siapa saja mengakses tautan tanpa otentikasi apa pun, yang berarti siapa pun yang mendapatkan tautan dapat mengakses file tersebut. Selain itu, ditemukan bahwa saat file media dibagikan menggunakan aplikasi, link akan dibuat terlepas dari penerima yang menginstal aplikasi tersebut.
Akibatnya, pengguna yang berniat jahat berpotensi mengakses file media apa pun yang dikirim melalui layanan ini dan juga semua yang dikirim di masa mendatang. Ini jelas berdampak pada kerahasiaan konten media yang dikirim melalui aplikasi ini, ”tambah penelitian tersebut.
Seperti disebutkan di atas, laporan tersebut mengklaim bahwa para peneliti telah menghubungi pembuat aplikasi pada bulan Agustus dan mereka belum mendengar kabar dari mereka tentang masalah ini.
“Trustwave mencoba menghubungi vendor beberapa kali sejak 18 Agustus 2020 tetapi tidak mendapat tanggapan apa pun. Karena itu, kerentanan ini masih ada dan menimbulkan risiko bagi pengguna. Sangat disarankan untuk menghindari pengiriman file media yang Anda harapkan tetap bersifat pribadi atau yang mungkin berisi data sensitif menggunakan program populer ini aplikasi messenger, setidaknya sampai vendor mengetahui kerentanan ini dan memperbaikinya, ”kata laporan tersebut.