محققان Trustwave موفق به کشف باگی در Go SMS Pro شدند که فایلهای ارسالی این اپلیکیشن را در معرض خطر قرار میدهد.
امنیت اطلاعات و فایلها، یکی از مهمترین و اصلیترین حقوق کاربران دنیای فناوری است. تاکنون بارها وجود باگ امنیتی باعث نفوذ مهاجمان به حساب کاربران و به دست آوردن اطلاعات شخصی آنها شده است. داشتن رمز عبور قدرتمند یکی از مهمترین بخشهای امنیت فضای مجازی است؛ اما زمانیکه دیتابیس نرمافزاری که کاربران در حال استفاده از آن هستند به دلیل وجود باگ مورد حملهی سودجویان قرار میگیرد، مسئله پیچیدهتر میشود. اخیرا گزارشی در فضای مجازی از برنامهی اندرویدی Go SMS Pro منتشر شده است که از مشکل امنیتی آن خبر میدهد.
زمانی که صحبت از اپلیکیشن اندرویدی شخص ثالث میشود، Go SMS Pro یکی از معروفترین گزینههایی است که تاکنون توسعه یافته و طرفداران زیادی دارد. همانطور که در فهرست گوگل پلی استور دیده میشود، این اپلیکیشن موفق شده است به تعداد نصب بینظیر ۱۰۰ میلیون برسد. به دلیل تعداد نصب بسیار زیاد، Go SMS Pro اکنون بهعنوان پلتفرم جایگزین اپلیکیشن اصلی اندروید برای ارسال و دریافت پیام شناخته میشود؛ اما متأسفانه محققان امنیتی یک نقص امنیتی بزرگ در این برنامه کشف کردهاند که میتواند امنیت کاربران آن را به خطر بیندازد.
خبرگزاری فناوری TechCrunch در وبسایت خود گزارشی بر اساس تحقیقات انجامشده توسط Trustwave منتشر کرده است که نشان میدهد میلیونها کاربر Go SMS Pro در برابر سرقت فایل آسیبپذیر هستند؛ این حقیقت اصلا نمیتواند مسئلهی خوبی برای کاربران و توسعهدهندگان باشد.
این برنامه به کاربران امکان میدهد عکس، فیلم و سایر فایلها را بهصورت آدرس وب به اشتراک بگذارند تا کسانی که حتی این برنامه را ندارند، با کمک لینک بهراحتی به آنها دسترسی پیدا کنند. محققان امنیتی در Trustwave دریافتند که این پیوندها، پیدرپی (Sequential) هستند. این بدان معنی است که هر کسی که یک آدرس وب را میداند، میتواند دیگر گزینهها را پیشبینی و بدون رضایت کاربران، به فایلهای ذخیرهشده دسترسی پیدا کند. باگ نرمافزاری مذکور میتواند باعث فاش شدن فایلهایی شود که کاربران ازطریق لینک برای یکدیگر ارسال کردهاند.
البته این همهی ماجرا نیست. کارل سیگلر، مدیر ارشد تحقیقات امنیتی در Trustwave، به TechCrunch گفت: یک مهاجم میتواند اسکریپتهایی تولید کند که توانایی ایجاد یک شبکه گسترده و پرتاب آن روی تمام فایلهای ذخیرهشده در فضای ابری دارند.
دقیقا با همین روش میتوان بسیاری از فایلهای منتشرشده در فضای ابری این پیامرسان شخص ثالث را بدون اجازهی کاربران به دست آورد. این ضعف در نسخه ۷٫۹۱ برنامه Go SMS Pro کشف شد. در حال حاضر جدیدترین نسخهی این برنامه ۷٫۹۳ است و آخرین بهروزرسانی آن در ۱۸ نوامبر عرضه شده. بااینحال Trustwave معتقد است این آسیبپذیری احتمالاً بر نسخههای قبلی و همچنین بعدی تأثیر میگذارد. بعضی از خبرگزاریها، یافتههای Trustwave را تأیید کردهاند و این مسئله نشاندهندهی مهم بودن این نقص امنیتی و در خطر قرار گرفتن فایلهای ارسالشده توسط کاربران است.
این شرکت امنیتی یافتههای خود درباره باگ امنیتی Go SMS Pro را در ماه آگوست با سازندهی برنامه در میان گذاشت و به او ۹۰ روز برای برطرف کردن مشکل فرصت داد؛ اما پس از پایان مهلت قانونی و منتشر نشدن خبری توسط توسعهدهندگان این اپلیکیشن در مورد رفع باگ، محققان Trustwave یافتههای خود را علنی کردند.
درنتیجه اگر از Go SMS Pro استفاده میکنید، هنوز احتمال دارد که در معرض خطر قرار بگیرید. شاید بهتر باشد بهطور موقت و تا زمانیکه این مشکل رفع شود، از یک پیامرسان دیگر استفاده کنید. حفظ امنیت مجازی کاربران یکی از اصلیترین وظایف تولیدکنندگان اپلیکیشنها است؛ اما توسعهدهندگان این پیامرسان شخص ثالث نهتنها پس از متوجه شدن باگ یادشده مطلبی دربارهی آن منتشر نکردهاند، بلکه به نظر میرسد آن را رفع نکرده باشند.