研究人員表示，自11月披露一個重大安全漏洞以來，GO SMS PRO 的Android應用已經(jīng)在Google Play上發(fā)布了兩個新版本--但都沒有修復原來的漏洞，這使得1億用戶面臨著隱私被侵犯的風險。

與此同時，大量針對該漏洞的利用工具已經(jīng)被廣泛的發(fā)布傳播。

根據(jù)Trustwave SpiderLabs的說法，該公司最初發(fā)現(xiàn)了一個安全漏洞，可以利用該漏洞使流行的應用程序Messenger發(fā)送的私人語音郵件，使視頻郵件和照片發(fā)生泄漏。

當用戶使用GO SMS Pro發(fā)送一條媒體信息時，即使收件人沒有安裝應用程序，也可以收到該信息。在這種情況下，媒體文件會以URL的形式通過短信發(fā)送給收件人，所以對方可以通過點擊鏈接在瀏覽器窗口中查看媒體文件。 但問題是，查看內(nèi)容時不需要通過認證，所以任何人只要有鏈接(鏈接也可以猜到)就可以點擊進入查看內(nèi)容。

根據(jù)Trustwave的說法，"僅通過一些非常小的細節(jié)，在眾多的人群中查找一個人是不現(xiàn)實的" ，"雖然不能直接將媒體的內(nèi)容與特定的用戶聯(lián)系起來，但那些帶有姓名，面部或其他識別特征的媒體文件卻可以做到這一點。"

11月19日，在原Trustwave咨詢發(fā)布會的前一天，該應用的新版本被上傳到了Play Store;隨后很快在11月23日發(fā)布了第二個更新版本。Trustwave目前已經(jīng)測試了v7.93和v7.94這兩個版本。

研究人員在周二的一篇文章中解釋說，"我們可以確定，原始的媒體漏洞仍然可以使用，"換句話說，以前已經(jīng)發(fā)送的信息仍然可以訪問。"這包括不少敏感數(shù)據(jù)，比如駕駛執(zhí)照、醫(yī)療保險賬號、法律文件，當然還有更'浪漫'的圖片。"

不幸的是，網(wǎng)絡騙子很快就利用了這個漏洞。根據(jù)Trustwave的說法，"在Pastebin和Github等網(wǎng)站上發(fā)布的利用這個漏洞的工具和腳本多如牛毛"。"許多流行的工具每天都在更新，而且是第三次或第四次修訂。我們還看到了地下論壇直接分享的從GO SMS服務器下載的圖片。"

至于新版本，研究人員解釋說，"開發(fā)者似乎正在嘗試修復這個漏洞，但應用程序中仍然沒有被完全修復"，"對于v7.93，他們似乎完全禁用了發(fā)送媒體文件的功能。我們甚至無法在彩信中附加文件。在v7.94中，他們沒有禁用在應用程序中上傳媒體文件的功能，但媒體文件似乎沒有發(fā)出去...... 無論有沒有附加媒體文件，收件人都收不到任何文本信息。所以，看來他們正在嘗試修復底層根本的漏洞。"

Trustwave表示，目前還沒有收到來自GO SMS Pro團隊的聯(lián)系。

研究人員說，"我們唯一的渠道是通過公眾教育，來阻止用戶繼續(xù)冒著風險去使用他們的敏感照片、視頻和語音信息"，"鑒于舊數(shù)據(jù)仍然還有風險，并且被用戶主動地泄露，再加上缺乏溝通或沒有對于軟件進行全面的修復，我們也認為谷歌將這款應用下架是個好的做法。"

本文翻譯自：https://threatpost.com/android-messenger-app-leaking-photos-videos/161741/如若轉載，請注明原文地址。