«Près de 100 millions d’utilisateurs ont choisi l’application de messagerie n ° 1 pour remplacer les autres. La nouvelle application de messagerie est simple, intuitive, personnalisée… ». C’est la première chose que vous pouvez lire dans le Play Store à propos de Go SMS Pro, une application de chat très populaire. En fait tellement qu’il avait téléchargé et installé environ 100 millions de fois. Et on en parle au passé car Google l’a supprimé de sa boutique. Le motif?

Exposition des données utilisateur.

Aller à l’application SMS Pro

Comme l’ont découvert des sites Web comme TechCrunch, Go SMS Pro présente une faille de sécurité massive qui permet potentiellement aux gens d’accéder au contenu sensible – des données privées – que vous avez envoyé avec l’application. Et bien que le fabricant de l’application ait été informé du problème il y a des mois, la vérité est qu’il n’a pas publié une seule mise à jour depuis tout ce temps pour le résoudre.

Quelle quantité et quel type d’informations privées fuit de l’application? Voici ce que TechCrunch a trouvé avec les profils qu’il a pu afficher en raison du bogue:

Numéro de téléphone d’une personne

Capture d’écran d’un virement bancaire

– Confirmation de demande qui comprenait l’adresse du domicile de quelqu’un

Dossier d’arrestation et «des photos beaucoup plus explicites que prévu, pour être tout à fait honnête», selon le journaliste de cybersécurité Zack Whittaker.

Le problème est dans l’URL

Go SMS Pro télécharge tous les fichiers multimédias envoyés sur Internet et les rend accessibles avec une URL, selon un rapport Trustwave. Lorsque vous envoyez un message avec des médias via Go SMS Pro, comme une photo ou une vidéo, l’application télécharge le contenu sur ses serveurs, créez une URL pointant vers elle et envoyez cette URL au destinataire. Si le destinataire dispose également de Go SMS Pro, le contenu apparaît directement dans le message, mais l’application continue de charger le fichier et continuez à créer ce lien d’accès public sur Internet.

Cette URL est là où se situe le problème: L’authentification n’est pas requise pour consulter le lien, ce qui signifie que toute personne qui le possède peut voir le contenu qu’il héberge. Et les URL générées par l’application ont apparemment une adresse séquentielle et prévisible, ce qui signifie que n’importe qui peut consulter d’autres fichiers simplement en modifiant les bonnes parties de l’url.

En théorie, vous pouvez même écrire un script pour générer automatiquement des URL séquentielles afin de pouvoir trouver et naviguer rapidement dans une tonne de contenu privé partagé par des personnes utilisant Go SMS Pro.

Pire encore, le développeur de l’application n’a pas répondu, il est donc difficile de savoir si cette vulnérabilité sera un jour corrigée. Le site Web de Trustwave a déclaré avoir contacté le développeur jusqu’à 4 fois depuis le 18 août 2020 pour vous informer de la vulnérabilité, pas de réponse. “TechCrunch a tenté d’envoyer deux e-mails connectés à l’application, et l’un d’eux rIl a rebondi avec un message disant que la boîte de réception de cette adresse était pleine.

Un autre e-mail a été ouvert mais n’a pas reçu de réponse, et un e-mail de suivi n’a pas été ouvert. Le point de vente Verge a tenté de contacter le développeur pour obtenir des commentaires via un e-mail répertorié sur le Play Store, mais l’e-mail a été renvoyé avec un message “Boîte de réception du destinataire pleine”. Et le site Web du développeur répertorié dans le Play Store semble être cassé.

Supprimé du Play Store

Compte tenu de tout ce qui s’est passé et de la présence du cas dans les médias spécialisés, le problème a été radicalement résolu: pas avec les développeurs de Go SMS Pro qui réparent leur application, mais avec Google le supprimant directement de son Play Store. il n’est donc plus disponible. Si vous l’avez pour une raison quelconque, mieux vaut le désinstaller de votre mobile.