因隐私安全漏洞 谷歌 Play 商店下架第三方短信应用 GO SMS Pro

尽管下载数量超过了 1 亿次，谷歌还是在安全研究人员披露了 GO SMS Pro 应用的隐私安全漏洞之后，立即下架了这款热门的第三方短信应用。报告指出，GP SMS Pro 存在一个可被攻击者利用的漏洞，以访问用户的图像、视频、音频等媒体文件。不过在正式向外界曝光之前，研究人员已照例给开发商预留了数月的修补时间。

http://hackernews.cc/wp-content/uploads/2020/11/c8a14445fc9e5a3.jpg

Trustwave 安全研究人员指出，v7.91 版本似乎容易受此漏洞的影响。当在 App 中显示用户之间的会话时，非用户将获得一个显示消息内容的链接。

问题在于，Go SMS Pro 会顺序生成链接。这意味着只需在 URL 上动手脚，非用户就可以轻松将其他人的消息链接也扒拉下来。结合脚本等工具，攻击者可借此手机大量的敏感数据。

甚至两名 Go SMS Pro 用户之间发送的消息，也可以通过链接的形式来呈现。糟糕的是，用户根本无法确定他们的信息是否被盗。

不过最让人感到不安的，是尽管 SpiderLabs 研究人员与 GO SMS Pro 开发者取得了联系，后者仍拖延了数月时间来修补漏洞。

（消息来源：cnBeta；封面来自网络）