Aplikasi Android yang populer menggunakan alamat Web yang mudah ditebak saat pengguna mengirim foto pribadi, video, dan pesan suara. Kerentanan keamanan di Go SMS Pro, aplikasi perpesanan Android populer, mengekspos foto pribadi, video, dan pesan suara dari jutaan pengguna, lapor peneliti. Peneliti dengan Trustwave SpiderLabs menemukan kelemahan Go SMS Pro versi 7.91, yang memiliki lebih dari 100 juta pengguna. Meskipun tidak jelas versi lain mana yang terpengaruh, diyakini versi sebelumnya dan versi yang akan datang rentan terhadap masalah yang sama, kata mereka.
Go SMS Pro, seperti banyak aplikasi messenger lainnya, memungkinkan orang mengirim media pribadi ke pengguna lain. Jika penerima memiliki aplikasi, media akan muncul di dalam aplikasi. Jika penerima tidak memiliki Go SMS Pro, file media dikirim sebagai alamat Web melalui SMS dan kemudian dibuka di dalam browser. Peneliti menemukan tautan ini dapat diakses tanpa otentikasi atau otorisasi apa pun, sehingga siapa pun yang memiliki tautan dapat melihat kontennya. Mereka juga mempelajari bahwa tautan URL berurutan (heksadesimal) dan dapat diprediksi, yang berarti penyerang dapat menaikkan nilai dalam URL tertentu untuk melihat atau mendengarkan pesan media pengguna lain tanpa otentikasi.
Trustwave menemukan kerentanan pada bulan Agustus dan berusaha menghubungi vendor aplikasi beberapa kali. Perusahaan tidak menanggapi, artinya kerentanan ini masih menimbulkan risiko bagi pengguna. Peneliti menyarankan agar tidak mengirim file media yang mungkin berisi data sensitif sampai Bug diperbaiki.
sumber : DarkReading