GO SMS Pro, aplikasi perpesanan populer untuk Android dengan lebih dari 100 juta penginstalan, ditemukan memiliki cacat keamanan yang belum ditambal yang secara terbuka mengekspos media yang ditransfer antar pengguna, termasuk pesan suara pribadi, foto, dan video. "Ini berarti setiap media sensitif yang dibagikan di antara pengguna aplikasi messenger ini berisiko disusupi oleh penyerang yang tidak berkepentingan atau pengguna yang penasaran," kata Konsultan Keamanan Senior Trustwave Richard Tan dalam sebuah laporan.
Menurut Trustwave SpiderLabs, bug terlihat di versi aplikasi 7.91, yang dirilis di Google Play Store pada 18 Februari 2020. Perusahaan keamanan siber tersebut mengatakan telah mencoba menghubungi pembuat aplikasi beberapa kali sejak 18 Agustus 2020, tanpa menerima tanggapan. Tetapi changelog aplikasi menyatakan, GO SMS Pro menerima pembaruan (v7.92) pada 29 September, diikuti oleh pembaruan berikutnya, yang diterbitkan kemarin. Pembaruan terbaru untuk aplikasi, masih belum mengatasi kelemahan yang disebutkan di atas. Kerentanan berasal dari cara konten media ditampilkan saat penerima tidak menginstal aplikasi GO SMS Pro di perangkat mereka, yang mengarah ke potensi paparan. "Jika penerima memiliki aplikasi GO SMS Pro di perangkat mereka, media akan ditampilkan secara otomatis di dalam aplikasi," kata Tan. "Namun, jika penerima tidak menginstal aplikasi GO SMS Pro, file media dikirim ke penerima sebagai URL melalui SMS. Pengguna kemudian dapat mengklik link tersebut dan melihat file media melalui browser."
Tautan ini (misalnya "https://gs.3g.cn/D/dd1efd/w") tidak hanya dapat diakses oleh siapa saja tanpa otentikasi sebelumnya, URL dibuat terlepas dari apakah penerima telah menginstal aplikasi atau belum, sehingga memungkinkan aktor untuk mengakses file media yang dikirim melalui aplikasi.
Dengan menambahkan nilai heksadesimal berurutan di URL (misalnya, "https://gs.3g.cn/D/e3a6b4/w"), kekurangan tersebut memungkinkan untuk melihat atau mendengarkan pesan media lain yang dibagikan di antara pengguna lain . Penyerang dapat memanfaatkan teknik ini untuk membuat daftar URL dan mencuri data pengguna tanpa sepengetahuan mereka. Kemungkinan cacat ini juga memengaruhi versi iOS dari GO SMS Pro, tetapi sampai ada perbaikan, sangat disarankan untuk menghindari pengiriman file media menggunakan aplikasi messenger ini.
Menurut Trustwave SpiderLabs, bug terlihat di versi aplikasi 7.91, yang dirilis di Google Play Store pada 18 Februari 2020. Perusahaan keamanan siber tersebut mengatakan telah mencoba menghubungi pembuat aplikasi beberapa kali sejak 18 Agustus 2020, tanpa menerima tanggapan. Tetapi changelog aplikasi menyatakan, GO SMS Pro menerima pembaruan (v7.92) pada 29 September, diikuti oleh pembaruan berikutnya, yang diterbitkan kemarin. Pembaruan terbaru untuk aplikasi, masih belum mengatasi kelemahan yang disebutkan di atas. Kerentanan berasal dari cara konten media ditampilkan saat penerima tidak menginstal aplikasi GO SMS Pro di perangkat mereka, yang mengarah ke potensi paparan. "Jika penerima memiliki aplikasi GO SMS Pro di perangkat mereka, media akan ditampilkan secara otomatis di dalam aplikasi," kata Tan. "Namun, jika penerima tidak menginstal aplikasi GO SMS Pro, file media dikirim ke penerima sebagai URL melalui SMS. Pengguna kemudian dapat mengklik link tersebut dan melihat file media melalui browser."
Tautan ini (misalnya "https://gs.3g.cn/D/dd1efd/w") tidak hanya dapat diakses oleh siapa saja tanpa otentikasi sebelumnya, URL dibuat terlepas dari apakah penerima telah menginstal aplikasi atau belum, sehingga memungkinkan aktor untuk mengakses file media yang dikirim melalui aplikasi.
Dengan menambahkan nilai heksadesimal berurutan di URL (misalnya, "https://gs.3g.cn/D/e3a6b4/w"), kekurangan tersebut memungkinkan untuk melihat atau mendengarkan pesan media lain yang dibagikan di antara pengguna lain . Penyerang dapat memanfaatkan teknik ini untuk membuat daftar URL dan mencuri data pengguna tanpa sepengetahuan mereka. Kemungkinan cacat ini juga memengaruhi versi iOS dari GO SMS Pro, tetapi sampai ada perbaikan, sangat disarankan untuk menghindari pengiriman file media menggunakan aplikasi messenger ini.