Ứng dụng nhắn tin Go SMS Pro hiện đang có lỗ hổng bảo mật lớn gây ra nhiều nguy hiểm cho người dùng
Mặc dù có hơn 100 triệu lượt cài đặt từ cửa hàng Google Play, tuy nhiên vẫn có một lỗ hổng bảo mật lớn cho người dùng. Nó có tiềm ẩn cho phép người khác truy cập vào những nội dung nhạy cảm mà bạn đã gửi khi sử dụng app. Mặc dù nhà sản xuất thông báo về vấn đề này nhiều tháng trước, nhưng họ vẫn chưa có biện pháp để khắc phục những gì đang xảy ra.
TechCrunch cho biết thêm :"Chỉ với vài đường liên kết mà chúng tôi đã thấy số điện thoại, ảnh chụp màn hình chuyển khoản ngân hàng, xác nhận đơn đặt hàng bao gồm địa chỉ nhà riêng, biên bản bắt giữ và những bức ảnh có chất lượng rõ hơn nhiều so với những gì chúng tôi mong đợi." phóng viên an ninh mạng Zack Whittaker cho biết, rõ ràng điều đó không an toàn.
Theo một báo cáo của Trustwave, Go SMS Pro tải các tệp phương tiện của bạn lên internet và chúng có thể được truy cập thông qua URL. Khi bạn gửi ảnh hay video qua Go SMS Pro, nó sẽ tải thông tin đó lên máy chủ, tạo một đường URL và gửi đường link đó cho người khác. Nếu người nhận cũng sử dụng Go SMS Pro, đường link đó sẽ được gửi trực tiếp trong tin nhắn, trong khi nó cũng tự tạo URL và công khai nó trên internet.
URL chính là thứ đáng lo ngại, bất kì đường link liên kết nào cũng có thể truy cập một cách công khai. Các URL do ứng dụng tạo ra dường như có địa chỉ tuần tự và nó có thể đoán trước được, có nghĩa là ai cũng có thể xem các tệp khác chỉ bằng cách thay đổi kí tự đường liên kết.
Tệ hơn nữa, phía nhà phát triển đã không có bất cứ phản hồi nào về lỗ hổng này. Trustwave cho biết họ đã bốn lần liên hệ với phía nhà phát triển kể từ ngày 18 tháng 8 năm 2020 để thông báo cho họ về lỗ hổng bảo mật này, nhưng không có bất kì phản hồi gì. TechCrunch đã thử gửi email đến 2 địa chỉ kết nối với ứng dụng. Email đầu tiên đến một địa chỉ bị trả lại với thông báo rằng hộp thư đến đã đầy. Một email khác đã được mở nhưng không được hồi âm và email còn lại không được mở. The Verge đã cố gắng liên hệ với nhà phát triển để thông báo thông qua một email có trên danh sách tại Cửa hàng Play, nhưng email bị trả lại với thông báo “hộp thư đến của người nhận đã đầy". Trang web của nhà phát triển ở Google Play dường như đã bị hỏng.
Vì vậy, bạn nên tìm kiếm một ứng dụng nhắn tin khác để đảm bảo an toàn cho mình.
Mặc dù có hơn 100 triệu lượt cài đặt từ cửa hàng Google Play, tuy nhiên vẫn có một lỗ hổng bảo mật lớn cho người dùng. Nó có tiềm ẩn cho phép người khác truy cập vào những nội dung nhạy cảm mà bạn đã gửi khi sử dụng app. Mặc dù nhà sản xuất thông báo về vấn đề này nhiều tháng trước, nhưng họ vẫn chưa có biện pháp để khắc phục những gì đang xảy ra.
TechCrunch cho biết thêm :"Chỉ với vài đường liên kết mà chúng tôi đã thấy số điện thoại, ảnh chụp màn hình chuyển khoản ngân hàng, xác nhận đơn đặt hàng bao gồm địa chỉ nhà riêng, biên bản bắt giữ và những bức ảnh có chất lượng rõ hơn nhiều so với những gì chúng tôi mong đợi." phóng viên an ninh mạng Zack Whittaker cho biết, rõ ràng điều đó không an toàn.
Theo một báo cáo của Trustwave, Go SMS Pro tải các tệp phương tiện của bạn lên internet và chúng có thể được truy cập thông qua URL. Khi bạn gửi ảnh hay video qua Go SMS Pro, nó sẽ tải thông tin đó lên máy chủ, tạo một đường URL và gửi đường link đó cho người khác. Nếu người nhận cũng sử dụng Go SMS Pro, đường link đó sẽ được gửi trực tiếp trong tin nhắn, trong khi nó cũng tự tạo URL và công khai nó trên internet.
URL chính là thứ đáng lo ngại, bất kì đường link liên kết nào cũng có thể truy cập một cách công khai. Các URL do ứng dụng tạo ra dường như có địa chỉ tuần tự và nó có thể đoán trước được, có nghĩa là ai cũng có thể xem các tệp khác chỉ bằng cách thay đổi kí tự đường liên kết.
Tệ hơn nữa, phía nhà phát triển đã không có bất cứ phản hồi nào về lỗ hổng này. Trustwave cho biết họ đã bốn lần liên hệ với phía nhà phát triển kể từ ngày 18 tháng 8 năm 2020 để thông báo cho họ về lỗ hổng bảo mật này, nhưng không có bất kì phản hồi gì. TechCrunch đã thử gửi email đến 2 địa chỉ kết nối với ứng dụng. Email đầu tiên đến một địa chỉ bị trả lại với thông báo rằng hộp thư đến đã đầy. Một email khác đã được mở nhưng không được hồi âm và email còn lại không được mở. The Verge đã cố gắng liên hệ với nhà phát triển để thông báo thông qua một email có trên danh sách tại Cửa hàng Play, nhưng email bị trả lại với thông báo “hộp thư đến của người nhận đã đầy". Trang web của nhà phát triển ở Google Play dường như đã bị hỏng.
Vì vậy, bạn nên tìm kiếm một ứng dụng nhắn tin khác để đảm bảo an toàn cho mình.
Theo Nghe Nhìn
