ما زال يعمل مطور تطبيق GO SMS Pro للمراسلة الفورية على إصلاح الخلل الكامن وراء تسرب البيانات الخاصة بملايين المستخدمين حول العالم، والذي حدث منذ أسبوعين تقريباً.

فالخلل الأمني في تطبيق GO SMS Pro الذي يعمل بنظام أندرويد Android مع أكثر من 100 مليون عملية تثبيت حول العالم، يسمح للمهاجمين غير المعتمدين بالوصول غير المقيد إلى الرسائل الصوتية ومقاطع الفيديو والصور الخاصة التي يشاركها مستخدمو التطبيق.

 

كيف تم الكشف عن البيانات الخاصة في GO SMS Pro

يمكن الوصول إلى الملفات الخاصة التي يرسلها المستخدمون إلى جهات الاتصال التي لا تستخدمGO SMS Pro  من خلال خوادم التطبيق، عبر عنوان URL مختصر يعيد توجيه المهاجم إلى خادم شبكة توصيل المحتوى (CDN) المستخدمة لتخزين جميع الرسائل المشتركة بين الطرفين.

ورغم أن عناوين URL المختصرة المرسلة إلى جهات الاتصال التي لا تستخدم التطبيق، يتم إنشاؤها بشكل تسلسلي في كل مرة تتم فيها مشاركة الملفات بين المستخدمين والوسائط المخزنة على خادم CDN. يبدو أنه كان من السهل على المهاجمين تصفح كل هذه الملفات المشتركة بشكل خاص، حتى من دون معرفة القائمة الكاملة لعناوين URL المختصرة.

تتضمن الملفات المسربة صوراً لسيارات المستخدمين، ولقطات شاشة لرسائل خاصة أخرى، ومنشورات على فيسبوك، ومقاطع فيديو وتسجيلات صوتية، وصور لمستندات حساسة، وحتى صور عارية.

 

الإصدارات الجديدة لم تصلح المشكلة

اعتباراً من يوم الاثنين 23 تشرين الثاني (نوفمبر)، تم تحميل إصدار محدث من تطبيق GO SMS Pro على متجر Google Play تم فيها إلغاء ميزة مشاركة البيانات مع الآخرين.

ولكن الإصدار الجديد لمعالجة الخلل الأمني لم يكن كافياً، بحيث أنه لا يزال من الممكن الوصول إلى جميع الوسائط التي تمت مشاركتها سابقاً على الخادم. كما أنه بالنسبة لأولئك الذين شاركوا بالفعل ملفات حساسة عبرGO SMS Pro ، لا توجد أي طريقة لحذفها من خادم تخزين التطبيق.

وبالتالي ما زال المهاجمون قادرون على تنزيل البيانات دفعة واحدة باستخدام برنامج نصي ينشئ قائمة بالعناوين المرتبطة بالصور ومقاطع الفيديو المشتركة، عبر استخدام إصدارات التطبيق الضعيفة.

حتى الآن، وعلى الرغم من محاولاتهم، لم يتمكن مطورو التطبيق من حظر الوصول إلى بيانات ملايين المستخدمين من الصور ومقاطع الفيديو والرسائل الصوتية الخاصة التي تم تحميلها قبل معالجة هذا الخلل جزئياً. وهي مشكلة، للأسف، لا يمكن حلها حتى إذا قررت غوغل إزالة التطبيق من متجر Google Play.