Bezpečnost | Mobilní aplikace | Instant Messaging

Průšvih: populární aplikace pro posílání zpráv Go SMS Pro zveřejňovala odeslané soubory

  • Aplikaci Go SMS Pro si nainstalovaly desítky milionů lidí
  • Kromě SMS uměla posílat také obrázky, videa a další soubory
  • Odeslané soubory byly veřejně dostupné v nešifrované podobě
Průšvih: populární aplikace pro posílání zpráv Go SMS Pro zveřejňovala odeslané soubory

Prakticky na každém chytrém telefonu najdete aplikaci pro správu krátkých textových zpráv (SMS). Zatímco část výrobců poskytuje vlastní řešení, někteří spoléhají na aplikaci Zprávy (Messages) od Googlu. Pokud uživatel není s předinstalovanou aplikací spokojen, může místo ní na telefonech s Androidem používat jinou.

V oficiálním repozitáři Obchod Google Play existuje několik desítek alternativ, lišících se od sebe nejen grafickým provedením, ale též poskytovanými funkcemi. Jedním z nejpopulárnějších programů tohoto typu je GO SMS Pro, který si stáhlo a nainstalovalo více než sto milionů uživatelů z celého světa. Po mnoha letech existence a bezmála třech milionech převážně kladných hodnocení se ukázalo, že představuje velkou bezpečnostní hrozbu pro soukromí.

Klepněte pro větší obrázek 
Aplikace Go SMS Pro

Nebezpečná aplikace Go SMS Pro

Bezpečnostní experti ze společnosti Trustwave odhalili v srpnu tohoto roku vážnou bezpečnostní chybu ve výše zmíněné aplikaci Go SMS Pro. Koncem minulého týdne zveřejnili na firemním blogu podrobnou zprávu o svých zjištěních.

Ukazuje se, že Go SMS Pro veřejně vystavuje multimediální soubory, jako jsou hlasové zprávy, videa a fotografie, přenášené v rámci vlastního chatu mezi uživateli aplikace. K těmto datům se po jejich odeslání mohl dostat doslova kdokoli. Slabina byla objevena ve verzi 7.91 a aktuálně není známo, kterých dalších verzí se týká. Velmi pravděpodobně je však obsažena i ve starších sestaveních této aplikace.

Klepněte pro větší obrázek 
Go SMS Pro zaznamenala více než sto milionů instalací

GO SMS Pro, stejně jako ostatní aplikace pro zasílání zpráv, umožňuje uživatelům odesílat soubory. Pokud příjemce na svém zařízení taktéž používá program GO SMS Pro, zobrazí se automaticky náhled přijatého souboru. Jestliže příjemce GO SMS Pro nepoužívá, multimediální soubor mu přijde prostřednictvím SMS jako URL adresa. Uživatel pak může kliknout na odkaz a zobrazit si soubor ve webovém prohlížeči.

Klepněte pro větší obrázek 
V aplikaci je možné posílat multimediální soubory

Hloupá chyba s dalekosáhlými následky

Jádro pudla spočívá v tom, že přístup k odkazu je možný bez jakéhokoli ověření nebo autorizace. To znamená, že kdokoli, kdo má odkaz, je schopen zobrazit odeslaný obsah. Ještě horší je, že tyto odkazy byly generovány v sekvenčním pořadí (bez ohledu na odesílatele či příjemce). Zjednodušeně řečeno: stačilo změnit parametr v řetězci adresy a mohli jste spatřit soubor odeslaný někomu úplně jinému.

Výsledkem je, že jakýkoli uživatel mohl potenciálně přistupovat ke všem multimediálním souborům odeslaným prostřednictvím této služby. Abyste si to mohli představit v praxi, tak například na adrese http://gs.3g.cn/D/dd1efd/w byla zvuková nahrávka odeslaná bezpečnostními experty. Stačilo změnit adresu na http://gs.3g.cn/D/e3a6b4/w a dostali jste se k úplně jinému souboru s vyfoceným falešným řidičským průkazem.

Klepněte pro větší obrázek 
Takto vypadá odkaz v jiné aplikaci pro správu SMS

Teoreticky si tak trochu schopnější programátor mohl napsat skript, který vygeneroval seznam adres, následně je prověřil a postahoval na nich zveřejněné soubory. Snadno se tak mohl dostat k veškerým datům odeslaným uživateli této aplikace, která byla k tomu všemu k dispozici v nešifrované podobě.

Klepněte pro větší obrázek 
Stačilo zkoušet jednu adresu za druhou

Probouzení mrtvého brouka

Odborníci z Trustwave 18. srpna 2020 kontaktovali autory aplikace, které hodlali seznámit se svými zjištěními. Nedočkali se však odpovědi, a to ani poté, co se pokoušeli o další kontakt 15. září, 14. října a 16. listopadu. Tři dny po posledním neúspěšném pokusu se rozhodli informovat o bezpečnostním riziku uživatele a širokou veřejnost.

Teprve poté se začalo něco dít. Vývojáři se sice dosud oficiálně nevyjádřili, v Obchodě Play se však 23. listopadu objevila nová verze aplikace GO SMS Pro s číslem 7.94. Dle oficiálního seznamu změn přináší pouze „optimalizaci průběhu operací“, z čehož lze těžko soudit, zda se jedná o opravu.

Něco se ale očividně stalo – při pokusu o otevření nějakého odkazu na webovém serveru s uloženými soubory se nyní zobrazuje pouze chybová hláška „Vyskytla se chyba. Litujeme, stránka, kterou hledáte, není momentálně k dispozici. Prosím zkuste to znovu později.“ Z dalšího textu „Pokud jste správcem systému tohoto zdroje, měli byste zkontrolovat podrobnosti v protokolu chyb.“ to však vypadá, že se jedná o opatření provozovatele webového serveru, nikoli krok vývojářů.

Celá kauza je mimo jiné zajímavá z pohledu otevřenosti a bezpečnosti mobilních operačních systémů. Zatímco na uzavřeném iOS nelze pro správu SMS využívat jinou než oficiální aplikaci, na otevřeném Androidu to možné je. Uživatele si tak mohou vybrat program, který vyhovuje jejich potřebám, avšak – jak ukazuje tento případ – i léty prověřené a miliony uživatelů kladně hodnocené aplikace mohou být velmi vážným bezpečnostním rizikem.

Diskuze (6) Další článek: Elektrický zubní kartáček s umělou inteligencí neboli Oral-B Genius X: testujeme!

Témata článku: Google, Bezpečnost, Čína, Mobilní aplikace, Instant Messaging, Android, Chat, iOS, SMS, Soubor, Aplikace, Odkaz, Posílání zpráv, Google Play, Multimediální soubor, Zprávy, Adresa, Uživatelé, Trustwave, Obchod Play


Určitě si přečtěte

Messenger a Instagram přicházejí v Evropě o funkce. Kvůli nové směrnici o soukromí
Vladislav Kluska
EvropaInstagramFacebook Messenger
Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 4

redakce
Mapy GoogleStreet View
Microsoft Defender je jeden z nejlepších antivirových programů, tvrdí výsledky AV-TESTu
Karel Kilián
Windows DefenderAntivirusWindows 10
Starlink podle betatesterů: Rychlejší a levnější než satelitní internet v Česku

Starlink podle betatesterů: Rychlejší a levnější než satelitní internet v Česku

** Reddit se začíná plnit zkušenostmi se Starlinkem ** Při přímé viditelnosti dá i 120 Mb/s ** Klasický satelitní internet už teď dalece překonává

Jakub Čížek | 48

Jakub Čížek
StarlinkPoskytovatelé internetu
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián | 20

Karel Kilián
TipyVyhledávačeGoogle
Jak se šíří Covid v Česku: Čerstvá data, semafor PES, mapy okresů a obcí. Každý den aktualizované grafy

Jak se šíří Covid v Česku: Čerstvá data, semafor PES, mapy okresů a obcí. Každý den aktualizované grafy

** Vývoj COVID-19 v Česku: nakažení, úmrtí, testovaní, hospitalizovaní ** Mapa podle okresů, přehled podle věku, situace v Evropě i ve světě ** Každý den aktualizované grafy a mapy

Marek Lutonský | 172

Marek Lutonský
COVID-19Koronavirus
Zapomeňte na destičky. Raspberry Pi 400 je nový počítač zabudovaný do klávesnice
Lukáš Václavík
Raspberry PiPočítače
Velký den pro Apple: Uvedl tři nové Macy s vlastním procesorem M1
Lukáš Václavík
PočítačeApple

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5