Nyhet

SMS-app delte grove bilder og videoer på nett

Installert over 100 millioner ganger.

Appen Go SMS Pro har en måte å dele filer, bilder og video på som gjør at hvem som helst kan se på andre brukeres innhold. Appen ligger fortsatt tilgjengelig på Google Play.

Android-telefoner kan bytte ut hele SMS-appen. Det er det som gjør at for eksempel Signal eller Facebook kan ta over funksjonen på telefonen din. Men det innebærer også en risiko for at appen du bytter ut standardløsningen med ikke virker slik den skal - eller bør. Et slikt tilfelle ser nå ut til å være avdekket i appen Go SMS Pro, som har over 100 millioner installasjoner ifølge Googles appbutikk. Appen skal ha delt bilder og annet innhold fra folks tekstmeldinger åpent på internett.

Det er sikkerhetsfolkene i Truswave som har avdekket problemer med appen, og saken ble først omtalt av TechCrunch.

Det skal ikke være snakk om ondsinnet kode eller bevisst spionering på brukere. I stedet handler det om at Go SMS Pro forsøker å omgå at mange mottakere ikke har samme app, og dermed må sende brukernes innhold som lenker til filer på internett heller enn som innhold rett til en mottakers app.

Innholdet som har blitt delt på denne måten er blant annet bilder, videoer og andre filer. Selve teksten har gått som vanlig melding.

Vanlig teknikk, men ...

Teknikken har ikke vært helt uvanlig, og liknende metoder har blitt brukt av andre tjenester opp gjennom for å dele innhold. Selv noe så enkelt som «gamle» multimediameldinger (MMS) har blitt delt på en liknende måte der mottakeren ikke har rett type telefon til å motta meldingene, eller ikke har satt opp telefonen sin riktig.

Det som gjør Go SMS Pros løsning mindre trygg enn andre løsninger er at alle meldingene lastes opp til forutsigbare nettadresser i serie. Dermed kan du om du får en SMS med en slik lenke i fra en Go SMS Pro-bruker enkelt bla rundt i andre brukeres innhold.

TechCrunch skriver at de har gjort nettopp det, og funnet skjermdumper av banktransaksjoner, arrestpapirer og telefonnumre og kjøpsbekreftelser. I tillegg til det de beskriver som en uventet stor mengde grovt innhold.

Det skal imidlertid ikke være mulig å se systematisk på enkeltbrukeres aktiviteter med appen.

Ligger fortsatt ute

Sikkerhetsproblemet ble oppdaget i august, og apputviklerne fikk 90 dager på seg til å respondere på Trustwaves funn uten å gjøre det. Det er forholdsvis vanlig praksis blant sikkerhetsselskaper å varsle og å gi en tidsfrist til å respondere eller til å fikse feilen, før man publiserer funnene.

Som regel ender slike funn med at bedrifter eller utviklere selv tar tak i feilene og utbedrer dem. Som regel betyr det at brukerne av tjenestene ikke merker så mye til hullene - som er borte før verden får høre om dem. Men i relativt sjeldne tilfeller, som dette, skjer det ikke så mye med tjenestene før tidsfristen går ut.

Både TechCrunch og Trustwave har forsøkt å komme i kontakt med utviklerne bak Go SMS Pro uten å lykkes, og appen ligger i skrivende stund fortsatt tilgjengelig i Google Play-butikken.

annonse