自从去年11月披露了一个重大安全漏洞以来,GOSMSPRO的Android应用程序已在GooglePlay上发布了两个新版本——但研究人员表示,这两个版本都没有修复原始漏洞,使1亿用户面临隐私侵犯的风险。同时,针对该漏洞的大量漏洞利用工具已被广泛发布和传播。据TrustwaveSpiderLabs称,该公司最初发现了一个安全漏洞,可以利用该漏洞允许流行应用程序Messenger发送的私人语音邮件泄露视频消息和照片。当用户使用GOSMSPro发送媒体消息时,即使未安装该应用程序,收件人也可以收到消息。在这种情况下,媒体文件以URL的形式发送给收件人,因此收件人可以单击链接以在浏览器窗口中查看媒体文件。但问题是查看内容不需要身份验证,所以任何知道链接(也可以猜到链接)的人都可以点击查看内容。根据Trustwave的说法,“仅通过查看非常小的细节来查找人群中的一个人是不切实际的。”或其他识别媒体文件可以做到这一点。”该应用程序的新版本于11月19日上传到Play商店,即最初Trustwave咨询发布的前一天;第二个更新版本。Trustwave目前测试了两个版本,v7.93和v7.94.“我们可以确定原始媒体漏洞仍然可用,”研究人员在周二的帖子中解释说,换句话说,之前发送的消息仍然可以访问。“这包括相当多的敏感数据,例如驾驶执照、健康保险帐号、法律文件,当然还有更多‘浪漫’的图片。”不幸的是,网络骗子很快就利用了这个漏洞。据Trustwave称,“有大量的工具和利用此漏洞的脚本发布在Pastebin和Github等网站上。“许多流行的工具每天都在更新,并且处于第三或第四次修订。我们还看到从GOSMS服务器下载的图像直接在地下论坛上共享。“至于新版本,研究人员解释说,”开发人员似乎正在尝试修复这个错误,但它仍然没有在应用程序中完全修复,“并且”对于v7.93,他们似乎已经完全禁用了发送媒体文件。”我们甚至无法在彩信中附加文件。在v7.94中,他们没有禁用在应用程序中上传媒体文件的功能,但媒体文件似乎没有被发送……收件人不无论是否附有媒体文件,都不会收到任何短信。因此,他们似乎正在尝试修复潜在的潜在错误。“Trustwave表示,它尚未收到GOSMSPro团队的联系。研究人员说,“我们唯一的渠道是通过公共教育来防止用户继续冒险使用他们的敏感照片、视频和语音信息。”,“鉴于旧数据仍然存在风险并被用户主动泄露,再加上缺乏沟通或对软件的全面修复,我们也认为谷歌下架这款应用是一个很好的举措。”这篇文章是翻译自:https://threatpost.com/android-messenger-app-leaking-photos-videos/161741/如有转载请注明原文地址。
