Bản vá "GO SMS Pro" chưa hoàn thiện khiến dữ liệu hàng triệu người dùng vẫn bị lộ
An toàn thông tin - Ngày đăng : 16:19, 04/12/2020
Lỗi bảo mật khiến cho một kẻ tấn công có thể sử dụng một tập lệnh bình thường để truy nhập các tệp tin đa phương tiện được chuyển giữa những người dùng với nhau, bao gồm những tin nhắn thoại riêng tư, ảnh, video, được lưu trữ trên một máy chủ có thể truy nhập công khai, không được xác thực.
Hành vi này đã được quan sát trên phiên bản 7.91 của GO SMS Pro cho Android. Sau đó, các nhà sản xuất ứng dụng đã phát hành 3 bản cập nhật, hai trong số đó (v7.93 và v7.94) đã được đưa lên cửa hàng Google Play sau khi công khai lỗ hổng và Google gỡ bỏ ứng dụng khỏi cửa hàng.
Tuy nhiên sau đó, Google đã khôi phục lại ứng dụng trên Play Store vào ngày 23/11.
Hiện nay, sau khi phân tích các phiên bản cập nhật, các nhà nghiên cứu của Trustware cho biết: "GOMO đang nỗ lực khắc phục sự cố, nhưng bản sửa lỗi hoàn chỉnh vẫn chưa sẵn sàng cho ứng dụng".
Bản cập nhật v7.93 đã tắt hoàn toàn khả năng gửi những tệp tin media, trong khi bản cập nhật kế tiếp (v7.94) đã khôi phục lại chức năng này, mặc dù bị lỗi
Tuy nhiên, không chỉ các công cụ và những khai thác lợi dụng lỗ hổng này được phát hành trên Pastebin (dịch vụ web đặc biệt giành cho các lập trình viên) và Github (một dịch vụ lưu trữ trên web dành cho các dự án có sử dụng hệ thống kiểm soát Git revision) mà các diễn đàn ngầm dường như cũng đang chia sẻ những hình ảnh tải được từ các máy chủ GO SMS.
Do thiếu thông tin từ các nhà phát triển ứng dụng và thực tế là dữ liệu cũ vẫn đang bị rò rỉ nên người dùng cần hạn chế sử dụng ứng dụng cho đến khi các vấn để được xử lý triệt để.