Play Store’da yüz milyondan fazla kişinin yüklediği Go SMS Pro adlı SMS uygulamasında, tüm kullanıcıları etkileyecek bir güvenlik açığı bulundu. Güvenlik firması TrustWave tarafından kamuoyuyla paylaşılan detaylara göre uygulama, kullanıcıların gönderdiği medyaları otomatik olarak herkese açık bir sunucuya yüklüyor.
İlginizi çekebilir: Google Play Store’dan milyonları etkileyen güvenlik açığı!
İçindekiler
Dikkat: Go SMS Pro kullandıysanız, özel verileriniz ifşa olmuş olabilir!
TrustWave firmasında çalışan bir grup güvenlik araştırmacısı, Play Store’da yüz milyondan fazla kişinin yüklemiş olduğu bir üçüncü taraf SMS uygulamasında çok ciddi bir güvenlik açığı bulduklarını duyurdu. Go SMS Pro isimli uygulamada belirlenen güvenlik açığına göre, uygulama kullanıcıların birbirlerine gönderdikleri medyaları otomatikman herkese açık bir sunucuya yüklüyor.
Go SMS Pro, dosyaları herkesin erişebildiği çevrim içi bir sunucuya yükledikten sonra özel bir URL oluşturuyor. Güvenlik araştırmacılarının dahi erişebildiği bu URL vasıtasıyla da tüm kullanıcıların özel verileri ifşa olmuş oluyor. TrustWave araştırmacıları, TechCrunch’a yaptıkları açıklamada söz konusu güvenlik açığıyla alakalı olarak uygulama geliştiricileriyle iletişime geçmeye çalıştıklarını ancak cevap alamadıklarını söyledi.
Araştırmacılar, güvenlik açığının çalışma mantığını ise kısaca şu şekilde izah ediyorlar:
Go SMS Pro’yu kullanan kişi, herhangi biriyle fotoğraf-video paylaşmak isterse, bu paylaşımı Go SMS Pro’yla yapabiliyor. Şöyle ki uygulama, paylaşılan dosyayı, normalde gizli olması gereken çevrim içi bir sunucuya yüklüyor ve özel bir URL oluşturuyor, akabinde kullanıcı da bu URL’yi isterse karşı tarafa gönderebiliyor; normalde uygulamanın çalışma mantığı genel olarak böyle.
Ancak araştırmacılar, Go SMS Pro tarafından oluşturulan bu web adreslerinin ardışık bir formatta olduğunu tespit etti. Meğer uygulama, kendi kullanıcıları arasında olsa bile her halükarda dosyayı herkese açık bir sunucuya yüklüyormuş ve yine URL oluşturuyormuş. URL herkes tarafından erişilebilir olduğu için, doğal olarak deneme yanılma yoluyla tahmin edebilenler de, milyonlarca kişinin özel dosyalarına erişebilme potansiyeline sahip oluyor. İşte tüm olay bundan ibaret.
Bu durumla ilgili olarak TechCrunch ekibi, paylaştıkları bir yazıda, Go SMS Pro’nun güvenlik açığından faydalanarak bir kişinin telefon numarası, banka havalesinin ekran görüntüsü, ev adresinin yazdığı sipariş özeti gibi bazı hassas bilgiler bulabildiklerini söyledi. Android işletim sisteminin modüler bir yapıda olması ve özelleştirilebilir olması iyi hoş. Fakat böyle potansiyel tehlikeleri her zaman bünyesinde barındırdığını da aklımızdan çıkarmamalıyız.