Prakticky na každém chytrém telefonu najdete aplikaci pro správu krátkých textových zpráv (SMS). Zatímco část výrobců poskytuje vlastní řešení, někteří spoléhají na aplikaci Zprávy (Messages) od Googlu. Pokud uživatel není s předinstalovanou aplikací spokojen, může místo ní na telefonech s Androidem používat jinou.
V oficiálním repozitáři Obchod Google Play existuje několik desítek alternativ, lišících se od sebe nejen grafickým provedením, ale též poskytovanými funkcemi. Jedním z nejpopulárnějších programů tohoto typu je GO SMS Pro, který si stáhlo a nainstalovalo více než sto milionů uživatelů z celého světa. Po mnoha letech existence a bezmála třech milionech převážně kladných hodnocení se ukázalo, že představuje velkou bezpečnostní hrozbu pro soukromí.
Aplikace Go SMS Pro
Nebezpečná aplikace Go SMS Pro
Bezpečnostní experti ze společnosti Trustwave odhalili v srpnu tohoto roku vážnou bezpečnostní chybu ve výše zmíněné aplikaci Go SMS Pro. Koncem minulého týdne zveřejnili na firemním blogu podrobnou zprávu o svých zjištěních.
Ukazuje se, že Go SMS Pro veřejně vystavuje multimediální soubory, jako jsou hlasové zprávy, videa a fotografie, přenášené v rámci vlastního chatu mezi uživateli aplikace. K těmto datům se po jejich odeslání mohl dostat doslova kdokoli. Slabina byla objevena ve verzi 7.91 a aktuálně není známo, kterých dalších verzí se týká. Velmi pravděpodobně je však obsažena i ve starších sestaveních této aplikace.
Go SMS Pro zaznamenala více než sto milionů instalací
GO SMS Pro, stejně jako ostatní aplikace pro zasílání zpráv, umožňuje uživatelům odesílat soubory. Pokud příjemce na svém zařízení taktéž používá program GO SMS Pro, zobrazí se automaticky náhled přijatého souboru. Jestliže příjemce GO SMS Pro nepoužívá, multimediální soubor mu přijde prostřednictvím SMS jako URL adresa. Uživatel pak může kliknout na odkaz a zobrazit si soubor ve webovém prohlížeči.
V aplikaci je možné posílat multimediální soubory
Hloupá chyba s dalekosáhlými následky
Jádro pudla spočívá v tom, že přístup k odkazu je možný bez jakéhokoli ověření nebo autorizace. To znamená, že kdokoli, kdo má odkaz, je schopen zobrazit odeslaný obsah. Ještě horší je, že tyto odkazy byly generovány v sekvenčním pořadí (bez ohledu na odesílatele či příjemce). Zjednodušeně řečeno: stačilo změnit parametr v řetězci adresy a mohli jste spatřit soubor odeslaný někomu úplně jinému.
Výsledkem je, že jakýkoli uživatel mohl potenciálně přistupovat ke všem multimediálním souborům odeslaným prostřednictvím této služby. Abyste si to mohli představit v praxi, tak například na adrese http://gs.3g.cn/D/dd1efd/w byla zvuková nahrávka odeslaná bezpečnostními experty. Stačilo změnit adresu na http://gs.3g.cn/D/e3a6b4/w a dostali jste se k úplně jinému souboru s vyfoceným falešným řidičským průkazem.
Takto vypadá odkaz v jiné aplikaci pro správu SMS
Teoreticky si tak trochu schopnější programátor mohl napsat skript, který vygeneroval seznam adres, následně je prověřil a postahoval na nich zveřejněné soubory. Snadno se tak mohl dostat k veškerým datům odeslaným uživateli této aplikace, která byla k tomu všemu k dispozici v nešifrované podobě.
Stačilo zkoušet jednu adresu za druhou
Probouzení mrtvého brouka
Odborníci z Trustwave 18. srpna 2020 kontaktovali autory aplikace, které hodlali seznámit se svými zjištěními. Nedočkali se však odpovědi, a to ani poté, co se pokoušeli o další kontakt 15. září, 14. října a 16. listopadu. Tři dny po posledním neúspěšném pokusu se rozhodli informovat o bezpečnostním riziku uživatele a širokou veřejnost.
Teprve poté se začalo něco dít. Vývojáři se sice dosud oficiálně nevyjádřili, v Obchodě Play se však 23. listopadu objevila nová verze aplikace GO SMS Pro s číslem 7.94. Dle oficiálního seznamu změn přináší pouze „optimalizaci průběhu operací“, z čehož lze těžko soudit, zda se jedná o opravu.
Něco se ale očividně stalo – při pokusu o otevření nějakého odkazu na webovém serveru s uloženými soubory se nyní zobrazuje pouze chybová hláška „Vyskytla se chyba. Litujeme, stránka, kterou hledáte, není momentálně k dispozici. Prosím zkuste to znovu později.“ Z dalšího textu „Pokud jste správcem systému tohoto zdroje, měli byste zkontrolovat podrobnosti v protokolu chyb.“ to však vypadá, že se jedná o opatření provozovatele webového serveru, nikoli krok vývojářů.
Celá kauza je mimo jiné zajímavá z pohledu otevřenosti a bezpečnosti mobilních operačních systémů. Zatímco na uzavřeném iOS nelze pro správu SMS využívat jinou než oficiální aplikaci, na otevřeném Androidu to možné je. Uživatele si tak mohou vybrat program, který vyhovuje jejich potřebám, avšak – jak ukazuje tento případ – i léty prověřené a miliony uživatelů kladně hodnocené aplikace mohou být velmi vážným bezpečnostním rizikem.
