اكتشاف ثغرة خطرة في واحد من أشهر تطبيقات SMS في أندرويد
عثر باحثون أمنيون على ثغرة خطرة في (جو إس إم إس برو) Go SMS Pro، الذي يعد واحدًا من أشهر تطبيقات المراسلة شيوعًا في نظام أندرويد من جوجل.
وأوضح الباحثون في شركة (ترست ويف) Trustwave أن الثغرة في تطبيق Go SMS Pro في نظام أندرويد تعرض الصور، ومقاطع الفيديو، والملفات الأخرى التي يرسلها المستخدمون بصورة خاصة. والأسوأ من ذلك، أن الشركة الصانعة للتطبيق لم تفعل حتى الآن أي شيء حيال الثغرة.
واكتشف باحثو Trustwave الثغرة في شهر آب/ أغسطس الماضي، واتصلوا بالشركة الصانعة للتطبيق، مع تحديد موعد نهائي مدته 90 يومًا لإصلاح المشكلة، كما هو الحال في الممارسة المعتادة في الكشف عن الثغرات الأمنية لإتاحة الوقت الكافي للإصلاح. ولكن بعد انقضاء الموعد النهائي دون سماع أي رد، أعلن الباحثون عن الثغرة.
وشاركت Trustwave النتائج التي توصلت إليها مع موقع (تك كرنش) TechCrunch التقني هذا الأسبوع.
وأوضحت الشركة أنه عندما يرسل مستخدم Go SMS Pro صورة، أو مقطع فيديو، أو ملفًا آخر إلى شخص لم يُثبِّت التطبيق في جهازه، فإن التطبيق يُحمِّل الملف إلى خوادمه، ويسمح للمستخدم بمشاركة عنوان الويب عن طريق رسالة نصية حتى يتمكن المستلم من رؤية الملف دون تثبيت التطبيق. ولكن الباحثين وجدوا أن عناوين الويب هذه متسلسلة. وهذا يعني أن أي شخص يعرف عنوان الويب الذي يمكن التنبؤ به يمكن أن يتنقل عبر الملايين من عناوين الويب المختلفة لملفات المستخدمين.
يُذكر أن عدد مرات تنزيل تطبيق Go SMS Pro يبلغ أكثر من 100 مليون، وذلك بحسب قوائم متجر التطبيقات (جوجل بلاي) Google Play.
وتحقق موقع TechCrunch من نتائج الشركة الأمنية، فوجد – عند عرض عشرات الروابط – رقم هاتف الشخص، ولقطة للشاشة من التحويل المصرفي، وتأكيد طلب يحتوي عنوان منزل شخص ما، وسجلّ اعتقال، وغير ذلك الكثير.
وقال (كارل سيجلر) – كبير مديري الأبحاث الأمنية في Trustwave: إنه بينما لم يكن من الممكن استهداف أي مستخدم بعينه، فإن أي ملف يُرسل باستخدام التطبيق يكون عرضة للوصول العام.
