原文《因隱私安全漏洞 谷歌 Play 商店下架第三方短信應(yīng)用 GO SMS Pro》

盡管下載數(shù)量超過了 1 億次，谷歌還是在安全研究人員披露了 GO SMS Pro 應(yīng)用的隱私安全漏洞之后，立即下架了這款熱門的第三方短信應(yīng)用。報告指出，GP SMS Pro 存在一個可被攻擊者利用的漏洞，以訪問用戶的圖像、視頻、音頻等媒體文件。不過在正式向外界曝光之前，研究人員已照例給開發(fā)商預(yù)留了數(shù)月的修補(bǔ)時間。

Trustwave 安全研究人員指出，v7.91 版本似乎容易受此漏洞的影響。當(dāng)在 App 中顯示用戶之間的會話時，非用戶將獲得一個顯示消息內(nèi)容的鏈接。

問題在于，Go SMS Pro 會順序生成鏈接。這意味著只需在 URL 上動手腳，非用戶就可以輕松將其他人的消息鏈接也扒拉下來。結(jié)合腳本等工具，攻擊者可借此手機(jī)大量的敏感數(shù)據(jù)。

甚至兩名 Go SMS Pro 用戶之間發(fā)送的消息，也可以通過鏈接的形式來呈現(xiàn)。糟糕的是，用戶根本無法確定他們的信息是否被盜。

不過最讓人感到不安的，是盡管 SpiderLabs 研究人員與 GO SMS Pro 開發(fā)者取得了聯(lián)系，后者仍拖延了數(shù)月時間來修補(bǔ)漏洞。

?

（消息來源：cnBeta；封面來自網(wǎng)絡(luò)）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/