Çok indirilen bir mesajlaşma uygulamasının yol açtığı büyük güvenlik açığı

Google Play üzerinden 100 milyondan fazla yüklemesi olan mesajlaşma uygulaması Go SMS Pro’nun, kullanıcıların uygulamayı kullanarak gönderdikleri hassas içeriğe erişilmesine potansiyel olarak izin veren büyük bir güvenlik açığına sahip olduğu ortaya çıktı. Uygulamanın üreticisi, sorun hakkında aylar önce bilgilendirilmiş olsa da, meydana gelen sorunu düzeltmek için herhangi bir güncelleme yapmadı.

Uygulamanın ne kadar bilgi sızdırdığına dair bir fikir vermesi için TechCrunch‘ın bulabildiği şu bilgilere bakabilirsiniz: “Yalnızca birkaç düzine bağlantıyı görüntülerken, oldukça dürüst olmak gerekirse, bir kişinin telefon numarasını, bir banka havalesinin ekran görüntüsünü, birinin de ev adresinin dahil olduğu bir sipariş onayı, tutuklama kaydı ve beklediğimizden çok daha açık fotoğraflar bulduk.” diyor siber güvenlik muhabiri Zack Whittaker.

Trustwave tarafından hazırlanan bir rapora göre Go SMS Pro, karşı tarafa gönderdiğiniz her medya dosyasını internet ortamına yüklüyor ve bu dosyalara bir URL ile erişilebilir hale getiriyor. Go SMS Pro aracılığıyla bir fotoğraf veya video gibi medyaya sahip bir mesaj gönderdiğinizde uygulama, içeriği sunucularına yüklüyor ve bunu gösteren bir URL oluşturup bunu alıcıya gönderiyor. Alıcıda da Go SMS Pro varsa, içerik doğrudan mesajda görünüyor. Ancak uygulama dosyayı yine de yüklüyor ve yine de internette herkesin erişebileceği bir bağlantıyı oluşturuyor.

Sorun bu URL’den kaynaklanıyor. Bağlantıya bakmak için kimlik doğrulaması gerekmiyor, yani bağlantıya sahip olan herkes içindeki içeriği görüntüleyebilir. Ve uygulama tarafından oluşturulan URL’lerin sıralı ve öngörülebilir bir adrese sahip olduğu görülüyor, bu da herkesin yalnızca URL’nin doğru kısımlarını değiştirerek diğer dosyalara bakabileceği anlamına geliyor. Teorik olarak, sıralı URL’leri otomatik olarak oluşturmak için bir komut dosyası bile yazabilir, böylece Go SMS Pro kullanan kişiler tarafından paylaşılan birçok özel içeriği hızla bulabilir ve bunlara göz atabilirsiniz.

Daha da kötüsü, uygulamanın geliştiricisi bu sorunla ilgili olarak gelen şikayetlere yanıt vermedi. Bu nedenle söz konusu güvenlik açığının düzeltilip düzeltilmeyeceği belli değil. Trustwave, geliştiriciyle 18 Ağustos 2020’den bu yana dört kez iletişime geçerek onları güvenlik açığı konusunda bilgilendirdi, ancak bir yanıt alamadı. TechCrunch da uygulamaya bağlı iki e-posta adresine e-posta gönderdi ve cevap bekledi. Bir adrese gönderilen e-posta, gelen kutusunun dolu olduğunu belirten bir mesajla geri döndü. Başka bir e-posta açıldı, ancak yanıtlanmadı ve bir takip e-postası açılmadı. Bu arada geliştiricinin Play Store girişinde listelenen web sitesi bozuk görünüyor.

Go SMS Pro Türkiye’de pek bilinen bir uygulama değil. Yine de Google Play’de rastlayıp yüklediniz ve kullanıyorsanız, paylaştığınız şeylerin internete sızmasını önlemek için farklı bir mesajlaşma uygulamasına geçmelisiniz.

Vodafone Her Şey Yanımda ile e-ticarette zirveyi hedefliyor

Vodafone, dört yıl önce hayata geçirdiği Yanıma uygulaması kapsamındaki hizmetlerine bir yenisini daha ekledi. Tüm kategorilerde hizmet veren Her Şey Yanımda isimli çevrimiçi alışveriş...

YouTube Shorts fonu şimdi Türkiye’ye açıldı

YouTube, Ekim ayından itibaren kısa video içerik üretimini teşvik etmek amacıyla YouTube Shorts Fonu’nu Türkiye’de de kullanacağını açıkladı. Shorts formatında yaratıcı ve benzersiz videolar üreten içerik...

Anker’den MagSafe uyumlu yeni MagGo serisi ve ilk üyeleri

MagSafe Battery Pack, MagSafe Cüzdan Kılıf veya MagSafe Duo Şarj Cihazı gibi birkaç Apple sertifikalı MagSafe aksesuarından farklı alternatif arayanlar için Anker gibi üçüncü...

Facebook yeniden genç kullanıcılara odaklanacak

Facebook CEO'su Mark Zuckerberg, şirketi içindeki ekipleri genç yetişkinlere hizmet etmeyi esas ilerleme noktası olarak belirlemeye yönlendirdiğini söyledi. Pazartesi günü öğleden sonra yatırımcılarla yapılan...

Kaliteli ve bilgilendirici teknoloji videoları için
Teknoblog YouTube kanalına abone olun