Gelekte foto's gebruikers Go SMS Pro op internetfora verschenen
Foto's en andere media die miljoenen gebruikers van de Android-app Go SMS Pro uitwisselden zijn nog steeds voor iedereen op internet toegankelijk en inmiddels zijn de bestanden op internetfora verschenen. Dat meldt securitybedrijf Trustwave.
Go SMS Pro is een applicatie die de standaard sms-app van Android kan vervangen. Via de app, die meer dan 100 miljoen installaties telt, kunnen gebruikers allerlei media uitwisselen, zoals foto's, spraakberichten en filmpjes. Wanneer de ontvangende partij ook van Go SMS Pro gebruikmaakt wordt de verstuurde media meteen binnen de app weergegeven.
Heeft de ontvanger de app niet geïnstalleerd, dan ontvangt hij via sms een downloadlink. Via de link kan het bestand in kwestie vervolgens in een browser worden bekeken. Deze downloadlinks zijn zonder authenticatie of autorisatie voor iedereen op internet toegankelijk. Daarnaast blijkt dat de downloadlink opeenvolgend en voorspelbaar is. Het is zo eenvoudig voor een aanvaller om alle via Go SMS Pro uitgewisselde media te downloaden.
Onderzoekers van Trustwave waarschuwden de app-ontwikkelaar op 18 augustus, 15 september, 14 oktober en 16 november van dit jaar, maar kregen geen reactie. Daarop maakten ze vorige maand de details van het probleem openbaar. Een dag voor de publicatie van de details verscheen Go SMS Pro versie 7.93. Daarin was het niet meer mogelijk voor gebruikers om mediabestanden te versturen.
Een dag nadat de details online waren verschenen verwijderde Google de sms-app uit de Google Play Store. Vorige week maandag was Go SMS Pro weer in de Play Store te vinden. Dit keer ging het om versie 7.94. In deze versie is het nog steeds niet mogelijk om media te versturen. Al uitgewisselde foto's en berichten zijn echter nog steeds voor iedereen op de servers toegankelijk. Op internet zijn inmiddels verschillende scripts gevonden waarmee deze bestanden zijn te downloaden.
Trustwave laat weten dat gedownloade foto's inmiddels op verschillende internetfora zijn verschenen. Het bedrijf zegt niet blij te zijn met de situatie, maar stelt dat de publicatie de enige manier was om gebruikers te waarschuwen. Tevens wordt Google. vanwege de gebrekkige communicatie door de app-ontwikkelaar, het ontbreken van een goede fix en het feit dat oude data nog steeds toegankelijk is, opgeroepen om de app opnieuw uit de Play Store te verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.