日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

 研究人員表示，自11月披露一個(gè)重大安全漏洞以來，GO SMS PRO 的Android應(yīng)用已經(jīng)在Google Play上發(fā)布了兩個(gè)新版本--但都沒有修復(fù)原來的漏洞，這使得1億用戶面臨著隱私被侵犯的風(fēng)險(xiǎn)。

與此同時(shí)，大量針對(duì)該漏洞的利用工具已經(jīng)被廣泛的發(fā)布傳播。

根據(jù)Trustwave SpiderLabs的說法，該公司最初發(fā)現(xiàn)了一個(gè)安全漏洞，可以利用該漏洞使流行的應(yīng)用程序Messenger發(fā)送的私人語音郵件，使視頻郵件和照片發(fā)生泄漏。

當(dāng)用戶使用GO SMS Pro發(fā)送一條媒體信息時(shí)，即使收件人沒有安裝應(yīng)用程序，也可以收到該信息。在這種情況下，媒體文件會(huì)以URL的形式通過短信發(fā)送給收件人，所以對(duì)方可以通過點(diǎn)擊鏈接在瀏覽器窗口中查看媒體文件。 但問題是，查看內(nèi)容時(shí)不需要通過認(rèn)證，所以任何人只要有鏈接(鏈接也可以猜到)就可以點(diǎn)擊進(jìn)入查看內(nèi)容。

根據(jù)Trustwave的說法，"僅通過一些非常小的細(xì)節(jié)，在眾多的人群中查找一個(gè)人是不現(xiàn)實(shí)的" ，"雖然不能直接將媒體的內(nèi)容與特定的用戶聯(lián)系起來，但那些帶有姓名，面部或其他識(shí)別特征的媒體文件卻可以做到這一點(diǎn)。"

11月19日，在原Trustwave咨詢發(fā)布會(huì)的前一天，該應(yīng)用的新版本被上傳到了Play Store;隨后很快在11月23日發(fā)布了第二個(gè)更新版本。Trustwave目前已經(jīng)測(cè)試了v7.93和v7.94這兩個(gè)版本。

研究人員在周二的一篇文章中解釋說，"我們可以確定，原始的媒體漏洞仍然可以使用，"換句話說，以前已經(jīng)發(fā)送的信息仍然可以訪問。"這包括不少敏感數(shù)據(jù)，比如駕駛執(zhí)照、醫(yī)療保險(xiǎn)賬號(hào)、法律文件，當(dāng)然還有更'浪漫'的圖片。"

不幸的是，網(wǎng)絡(luò)騙子很快就利用了這個(gè)漏洞。根據(jù)Trustwave的說法，"在Pastebin和Github等網(wǎng)站上發(fā)布的利用這個(gè)漏洞的工具和腳本多如牛毛"。"許多流行的工具每天都在更新，而且是第三次或第四次修訂。我們還看到了地下論壇直接分享的從GO SMS服務(wù)器下載的圖片。"

至于新版本，研究人員解釋說，"開發(fā)者似乎正在嘗試修復(fù)這個(gè)漏洞，但應(yīng)用程序中仍然沒有被完全修復(fù)"，"對(duì)于v7.93，他們似乎完全禁用了發(fā)送媒體文件的功能。我們甚至無法在彩信中附加文件。在v7.94中，他們沒有禁用在應(yīng)用程序中上傳媒體文件的功能，但媒體文件似乎沒有發(fā)出去...... 無論有沒有附加媒體文件，收件人都收不到任何文本信息。所以，看來他們正在嘗試修復(fù)底層根本的漏洞。"

Trustwave表示，目前還沒有收到來自GO SMS Pro團(tuán)隊(duì)的聯(lián)系。

研究人員說，"我們唯一的渠道是通過公眾教育，來阻止用戶繼續(xù)冒著風(fēng)險(xiǎn)去使用他們的敏感照片、視頻和語音信息"，"鑒于舊數(shù)據(jù)仍然還有風(fēng)險(xiǎn)，并且被用戶主動(dòng)地泄露，再加上缺乏溝通或沒有對(duì)于軟件進(jìn)行全面的修復(fù)，我們也認(rèn)為谷歌將這款應(yīng)用下架是個(gè)好的做法。"

本文翻譯自：https://threatpost.com/android-messenger-app-leaking-photos-videos/161741/如若轉(zhuǎn)載，請(qǐng)注明原文地址。

網(wǎng)站名稱：安卓GOSMSPRO仍在泄露照片及視頻問題
當(dāng)前網(wǎng)址：http://www.5511xx.com/article/ccoeeoo.html