اشتباه فاجعه بار اپلیکیشن GO SMS Pro و سکوت سازندگان - لنجان بلاگ

به گزارش خبرنگاران به نقل از ایتنا،یک اپ اندرویدی جایگزین SMS که زمانی محبوب بوده ظاهرا هرگونه عکس، ویدئو یا فایلی که کاربرانش به اشتراک می گذاشته اند را درز داده است و توسعه دهندگانش هم وقتی درباره این نقیصه امنیتی اعلان دریافت نموده اند به راحتی در قبال آن سکوت نموده اند.

اپ GO SMS Pro، که تنها یکی از بسیار اپ های تحت برند GO است که در Google Play Store قابل دسترسی است، در اوائل دوران اندروید که اپهای SMS طرف ثالث بسیار مطرح بودند محبوبیت یافت. این اپ ها کوشش کردند تا قابلیت های پیشرفته ای را ارائه نمایند که فراتر از آن چیزی باشد که SMS قدیمی ساده قادر به انجام آن است، از جمله اشتراک گذاری عکس ها و ویدئوها با کاربران دیگر. این اپ به شکلی بسیار ساده ولی، متاسفانه، همچنین ناامن این سرویس ها را به اجرا در آورده است.

ظاهرا این اپ فایل های به اشتراک گذاشته شده را بر روی یک سرور دوردست آپلود نموده و یک URL را فراوری می کرد به طوری که همه می توانستند این فایل را ببینند حتی در صورتی که از GO SMS Pro استفاده نمی کردند.

متاسفانه، آن همه به معنای واقعی کلمه همگان را شامل می شده چرا که این فایلها رمزگشایی شده بودند و لینک ها به آنها به سادگی به صورت متوالی به شکلی قابل پیش بینی شماره گذاری می شده اند. به عبارت دیگر، وقتی یک فرد ماهر به چنان لینکی دسترسی پیدا می کرد، به راحتی می توانست تمام فایلهای ذخیره شده بر روی سرور را مرور کند، فایل هایی که شامل اسکرین شات هایی از اطلاعات محرمانه و خصوصی بودند.

بدتر آنکه توسعه دهندگان این اپ کاملا در پاسخ به این گزارش سکوت اختیار نموده اند. وبسایت Trustwave (که این مساله را کشف نموده) در ماه اوت به عنوان بخشی از رویه های علنی سازی کوشش کرد تا با توسعه دهندگان این اپ تماس برقرار کند. بعد از آنکه ایمیل آنها بی پاسخ ماند، پس از سه ماه این پژوهشگران امنیتی تصمیم به علنی کردن این نقیصه کردند.

مسلما این رفتار چیزی نیست که چک های امنیتی Google Play Store به آسانی قادر به تشخیص آن باشند چرا که یک رفتار سمت سرور است. حتی این شرایط برخلاف خط مشی اندروید نیز نبوده است، هرچند که نشانگر وجود خلاء های مهمی در روش های امنیتی گوگل است.