Go SMS Pro — популярную альтернативу штатному приложению для обмена СМС-сообщениями на Android-устройствах — уличили в раскрытии пользовательских данных. Как оказалось, утилита автоматически загружает в интернет любые файлы, которыми обмениваются собеседники.
Go SMS Pro устроен так, чтобы любой пользователь — даже те, у которых не установлено это приложение, — мог получить сообщение. Для этого программа при отправке фотографии, видео или другого файла загружает его на свои серверы и генерирует ссылку.
Однако, как выяснили эксперты Trustwave, Go SMS Pro загружает данные в Сеть в любом случае — даже если этим приложением пользуются оба собеседника. Что хуже, ссылки создаются предсказуемым образом, что позволяет злоумышленникам подглядывать за перепиской миллионов пользователей. Согласно статистике магазина Google Play, Go SMS Pro установлен у более 100 миллионов человек.
Выводы специалистов подтвердили в издании TechCrunch. Журналисты, "просмотрев всего несколько десятков ссылок, нашли номер телефона, скриншот банковского перевода, подтверждение заказа, включая чей-то домашний адрес, запись об аресте и намного более откровенные фотографии, чем мы, честно говоря, ожидали".
Эксперты уведомили авторов Go SMS Pro об уязвимости еще в августе, но не получили ответа. Ошибка не была устранена в 90-дневный срок, поэтому в Trustwave решили предупредить пользователей об угрозе.