Bezpečnost | Mobilní aplikace | Instant Messaging

Průšvih: populární aplikace pro posílání zpráv Go SMS Pro zveřejňovala odeslané soubory

  • Aplikaci Go SMS Pro si nainstalovaly desítky milionů lidí
  • Kromě SMS uměla posílat také obrázky, videa a další soubory
  • Odeslané soubory byly veřejně dostupné v nešifrované podobě
Průšvih: populární aplikace pro posílání zpráv Go SMS Pro zveřejňovala odeslané soubory

Prakticky na každém chytrém telefonu najdete aplikaci pro správu krátkých textových zpráv (SMS). Zatímco část výrobců poskytuje vlastní řešení, někteří spoléhají na aplikaci Zprávy (Messages) od Googlu. Pokud uživatel není s předinstalovanou aplikací spokojen, může místo ní na telefonech s Androidem používat jinou.

V oficiálním repozitáři Obchod Google Play existuje několik desítek alternativ, lišících se od sebe nejen grafickým provedením, ale též poskytovanými funkcemi. Jedním z nejpopulárnějších programů tohoto typu je GO SMS Pro, který si stáhlo a nainstalovalo více než sto milionů uživatelů z celého světa. Po mnoha letech existence a bezmála třech milionech převážně kladných hodnocení se ukázalo, že představuje velkou bezpečnostní hrozbu pro soukromí.

Klepněte pro větší obrázek 
Aplikace Go SMS Pro

Nebezpečná aplikace Go SMS Pro

Bezpečnostní experti ze společnosti Trustwave odhalili v srpnu tohoto roku vážnou bezpečnostní chybu ve výše zmíněné aplikaci Go SMS Pro. Koncem minulého týdne zveřejnili na firemním blogu podrobnou zprávu o svých zjištěních.

Ukazuje se, že Go SMS Pro veřejně vystavuje multimediální soubory, jako jsou hlasové zprávy, videa a fotografie, přenášené v rámci vlastního chatu mezi uživateli aplikace. K těmto datům se po jejich odeslání mohl dostat doslova kdokoli. Slabina byla objevena ve verzi 7.91 a aktuálně není známo, kterých dalších verzí se týká. Velmi pravděpodobně je však obsažena i ve starších sestaveních této aplikace.

Klepněte pro větší obrázek 
Go SMS Pro zaznamenala více než sto milionů instalací

GO SMS Pro, stejně jako ostatní aplikace pro zasílání zpráv, umožňuje uživatelům odesílat soubory. Pokud příjemce na svém zařízení taktéž používá program GO SMS Pro, zobrazí se automaticky náhled přijatého souboru. Jestliže příjemce GO SMS Pro nepoužívá, multimediální soubor mu přijde prostřednictvím SMS jako URL adresa. Uživatel pak může kliknout na odkaz a zobrazit si soubor ve webovém prohlížeči.

Klepněte pro větší obrázek 
V aplikaci je možné posílat multimediální soubory

Hloupá chyba s dalekosáhlými následky

Jádro pudla spočívá v tom, že přístup k odkazu je možný bez jakéhokoli ověření nebo autorizace. To znamená, že kdokoli, kdo má odkaz, je schopen zobrazit odeslaný obsah. Ještě horší je, že tyto odkazy byly generovány v sekvenčním pořadí (bez ohledu na odesílatele či příjemce). Zjednodušeně řečeno: stačilo změnit parametr v řetězci adresy a mohli jste spatřit soubor odeslaný někomu úplně jinému.

Výsledkem je, že jakýkoli uživatel mohl potenciálně přistupovat ke všem multimediálním souborům odeslaným prostřednictvím této služby. Abyste si to mohli představit v praxi, tak například na adrese http://gs.3g.cn/D/dd1efd/w byla zvuková nahrávka odeslaná bezpečnostními experty. Stačilo změnit adresu na http://gs.3g.cn/D/e3a6b4/w a dostali jste se k úplně jinému souboru s vyfoceným falešným řidičským průkazem.

Klepněte pro větší obrázek 
Takto vypadá odkaz v jiné aplikaci pro správu SMS

Teoreticky si tak trochu schopnější programátor mohl napsat skript, který vygeneroval seznam adres, následně je prověřil a postahoval na nich zveřejněné soubory. Snadno se tak mohl dostat k veškerým datům odeslaným uživateli této aplikace, která byla k tomu všemu k dispozici v nešifrované podobě.

Klepněte pro větší obrázek 
Stačilo zkoušet jednu adresu za druhou

Probouzení mrtvého brouka

Odborníci z Trustwave 18. srpna 2020 kontaktovali autory aplikace, které hodlali seznámit se svými zjištěními. Nedočkali se však odpovědi, a to ani poté, co se pokoušeli o další kontakt 15. září, 14. října a 16. listopadu. Tři dny po posledním neúspěšném pokusu se rozhodli informovat o bezpečnostním riziku uživatele a širokou veřejnost.

Teprve poté se začalo něco dít. Vývojáři se sice dosud oficiálně nevyjádřili, v Obchodě Play se však 23. listopadu objevila nová verze aplikace GO SMS Pro s číslem 7.94. Dle oficiálního seznamu změn přináší pouze „optimalizaci průběhu operací“, z čehož lze těžko soudit, zda se jedná o opravu.

Něco se ale očividně stalo – při pokusu o otevření nějakého odkazu na webovém serveru s uloženými soubory se nyní zobrazuje pouze chybová hláška „Vyskytla se chyba. Litujeme, stránka, kterou hledáte, není momentálně k dispozici. Prosím zkuste to znovu později.“ Z dalšího textu „Pokud jste správcem systému tohoto zdroje, měli byste zkontrolovat podrobnosti v protokolu chyb.“ to však vypadá, že se jedná o opatření provozovatele webového serveru, nikoli krok vývojářů.

Celá kauza je mimo jiné zajímavá z pohledu otevřenosti a bezpečnosti mobilních operačních systémů. Zatímco na uzavřeném iOS nelze pro správu SMS využívat jinou než oficiální aplikaci, na otevřeném Androidu to možné je. Uživatele si tak mohou vybrat program, který vyhovuje jejich potřebám, avšak – jak ukazuje tento případ – i léty prověřené a miliony uživatelů kladně hodnocené aplikace mohou být velmi vážným bezpečnostním rizikem.

Diskuze (6) Další článek: Elektrický zubní kartáček s umělou inteligencí neboli Oral-B Genius X: testujeme!

Témata článku: Google, Bezpečnost, Čína, Mobilní aplikace, Instant Messaging, Android, Chat, iOS, SMS, Soubor, Posílání zpráv, Google Play, Obchod Play, Zprávy, Adresa, Uživatelé, Trustwave, Odkaz, Multimediální soubor, Aplikace


Určitě si přečtěte

Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

** Testujeme Apple Macbook Air s procesorem M1 ** Zajímá nás nejen výkon, ale zejména kompatibilita aplikací ** Článek je průběžně doplňován na základě vašich dotazů

Jiří Kuruc | 206

Jiří Kuruc
Apple
AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

** AMD představilo tři nové grafické karty ** Všechny s architekturou RDNA2, kterou používají i PS5 a Xbox Series ** Karty útočí přímo na GeForce RTX 3000

Karel Javůrek | 78

Karel Javůrek
Radeon RX 6000Grafické kartyAMD
Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

** Tipy na užitečné příslušenství k počítačům ** Poradíme, s jakými produkty neuděláte chybu ** Některé z věcí mohou být dobrými vánočními dárky

David Polesný, Stanislav Janů | 20

David PolesnýStanislav Janů
Příslušenství
Vodafonu se zhroutila kabelovka. Síť bývalého UPC má výpadky
Lukáš Václavík
VodafoneUPC
Archivovat data do cloudu, na HDD, SSD, DVD, nebo Blu-ray? Co je nejvýhodnější?

Archivovat data do cloudu, na HDD, SSD, DVD, nebo Blu-ray? Co je nejvýhodnější?

** Kam doma natrvalo uložit data? Vyplatí se ještě optická média? ** Jaké kapacity disků a médií má smysl koupit? ** Cenovou výhodnost si ukážeme na příkladech s 2TB úložištěm

Lukáš Václavík | 118

Lukáš Václavík
ZálohováníÚložištěPevné disky
10 míst na mapách Googlu, která nesmíte vidět. Nahradily je čtverečky

10 míst na mapách Googlu, která nesmíte vidět. Nahradily je čtverečky

** Deset míst, které nesmíte vidět ve webových mapách ** Jsou to letiště, základny i elektrárny ** Nejvíce míst tají Francie

Jakub Čížek | 21

Jakub Čížek
Mapy GoogleMapy

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5