因隱私安全漏洞 谷歌Play商店下架第三方短信應用GO SMS Pro

盡管下載數(shù)量超過了1億次，谷歌還是在安全研究人員披露了GO SMS Pro應用的隱私安全漏洞之后，立即下架了這款熱門的第三方短信應用。報告指出，GP SMS Pro存在一個可被攻擊者利用的漏洞，以訪問用戶的圖像、視頻、音頻等媒體文件。不過在正式向外界曝光之前，研究人員已照例給開發(fā)商預留了數(shù)月的修補時間。

Trustwave安全研究人員指出，v7.91版本似乎容易受此漏洞的影響。當在App中顯示用戶之間的會話時，非用戶將獲得一個顯示消息內(nèi)容的鏈接。

問題在于，Go SMS Pro會順序生成鏈接。這意味著只需在URL上動手腳，非用戶就可以輕松將其他人的消息鏈接也扒拉下來。結(jié)合腳本等工具，攻擊者可借此手機大量的敏感數(shù)據(jù)。

甚至兩名Go SMS Pro用戶之間發(fā)送的消息，也可以通過鏈接的形式來呈現(xiàn)。糟糕的是，用戶根本無法確定他們的信息是否被盜。

不過最讓人感到不安的，是盡管SpiderLabs研究人員與GO SMS Pro開發(fā)者取得了聯(lián)系，后者仍拖延了數(shù)月時間來修補漏洞。