Szczyt niekompetencji. Prywatne zdjęcia i pliki użytkowników Androida i Go SMS Pro dostępne w sieci dla każdego

Kolejny przykład skrajnej nieodpowiedzialności i niekompetencji ze strony deweloperów popularnych, zamkniętych aplikacji i kolejny dowód na to, że powinniśmy przykładać większą wagę do tego, co instalujemy. Chociaż lata świetności ma już na szczęście za sobą, GO SMS Pro mając ponad 100 milionów pobrań to jedna z bardziej popularnych aplikacji do komunikacji w sklepie Google Play.

Zrzuty ekranu z felernej aplikacji

Opisując sytuację najbardziej skrótowo – gdy użytkownik Go SMS Pro wysyła zdjęcie lub jakikolwiek plik do osoby, która tej aplikacji nie używa, plik zostaje w sposób niezabezpieczony wysłany na serwery i przypisany zostaje mu adres URL, który otworzyć może ktokolwiek. Okazuje się dodatkowo, że adresy te generowane są w sposób przewidywalny, co sprawia, że w prosty sposób można uzyskać dostęp do milionów wiadomości użytkowników aplikacji.

Sprawdzając zaledwie kilkadziesiąt linków, byliśmy w stanie odnaleźć prywatny numer telefonu, zrzut ekranu przelewu z banku, potwierdzenie zakupu zawierające domowy adres (…) oraz dużo więcej intymnych zdjęć, niż się spodziewaliśmy

Techcrunch

Problem został odkryty prze grupę Trustwave już ponad 3 miesiące temu. Zgodnie z przyjętą praktyką, niezwłocznie poinformowała ona o tym twórców aplikacji, dając im 90 dni na naprawę problemu. Co najbardziej szokujące – do tej pory nie zrobili oni nic, aby go naprawić. W związku z tym po upłynięciu wskazanego terminu, o sprawie został poinformowany serwis TechCrunch, który sprawę nagłośnił i dokonał sprawdzenia zgłoszonej metody.

Zarówno grupa Trustwave jak i redakcja TechCrunch próbowali się skontaktować z twórcami aplikacji – bezskutecznie.

Jeżeli jeszcze tego nie zrobiliśmy – najwyższy czas zacząć korzystać z bezpiecznego komunikatora, który respektuje naszą prywatność, takiego jak Signal. Wszak ludzie dzielą się na tych, którzy interesują się bezpieczeństwem w sieci oraz tych, którzy zaczną „po szkodzie”. 😉 Więcej o wyborze komunikatora poniżej.


Jeżeli podoba Ci się ten wpis i interesuje Cię technologia ze szczególnym uwzględnieniem prywatności, cyfrowego bezpieczeństwa, wolnego oprogramowania i kwestii etycznych zamiast sponsorowanych artykułów o kolejnych produktach, które „musisz mieć” – koniecznie zostaw polubienie na FB, dodaj GeekOrganic do subskrypcji RSS lub po prostu podaj dalej ten lub inny wpis – dla niezależnych blogów takich jak GeekOrganic to wielka rzecz. Dzięki!

Linki do social media GeekOrganic:

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s