Google Play üzerinden 100 milyondan fazla yüklemesi olan mesajlaşma uygulaması Go SMS Pro’nun, kullanıcıların uygulamayı kullanarak gönderdikleri hassas içeriğe erişilmesine potansiyel olarak izin veren büyük bir güvenlik açığına sahip olduğu ortaya çıktı. Uygulamanın üreticisi, sorun hakkında aylar önce bilgilendirilmiş olsa da, meydana gelen sorunu düzeltmek için herhangi bir güncelleme yapmadı.
Uygulamanın ne kadar bilgi sızdırdığına dair bir fikir vermesi için TechCrunch‘ın bulabildiği şu bilgilere bakabilirsiniz: “Yalnızca birkaç düzine bağlantıyı görüntülerken, oldukça dürüst olmak gerekirse, bir kişinin telefon numarasını, bir banka havalesinin ekran görüntüsünü, birinin de ev adresinin dahil olduğu bir sipariş onayı, tutuklama kaydı ve beklediğimizden çok daha açık fotoğraflar bulduk.” diyor siber güvenlik muhabiri Zack Whittaker.
Trustwave tarafından hazırlanan bir rapora göre Go SMS Pro, karşı tarafa gönderdiğiniz her medya dosyasını internet ortamına yüklüyor ve bu dosyalara bir URL ile erişilebilir hale getiriyor. Go SMS Pro aracılığıyla bir fotoğraf veya video gibi medyaya sahip bir mesaj gönderdiğinizde uygulama, içeriği sunucularına yüklüyor ve bunu gösteren bir URL oluşturup bunu alıcıya gönderiyor. Alıcıda da Go SMS Pro varsa, içerik doğrudan mesajda görünüyor. Ancak uygulama dosyayı yine de yüklüyor ve yine de internette herkesin erişebileceği bir bağlantıyı oluşturuyor.
Sorun bu URL’den kaynaklanıyor. Bağlantıya bakmak için kimlik doğrulaması gerekmiyor, yani bağlantıya sahip olan herkes içindeki içeriği görüntüleyebilir. Ve uygulama tarafından oluşturulan URL’lerin sıralı ve öngörülebilir bir adrese sahip olduğu görülüyor, bu da herkesin yalnızca URL’nin doğru kısımlarını değiştirerek diğer dosyalara bakabileceği anlamına geliyor. Teorik olarak, sıralı URL’leri otomatik olarak oluşturmak için bir komut dosyası bile yazabilir, böylece Go SMS Pro kullanan kişiler tarafından paylaşılan birçok özel içeriği hızla bulabilir ve bunlara göz atabilirsiniz.
Daha da kötüsü, uygulamanın geliştiricisi bu sorunla ilgili olarak gelen şikayetlere yanıt vermedi. Bu nedenle söz konusu güvenlik açığının düzeltilip düzeltilmeyeceği belli değil. Trustwave, geliştiriciyle 18 Ağustos 2020’den bu yana dört kez iletişime geçerek onları güvenlik açığı konusunda bilgilendirdi, ancak bir yanıt alamadı. TechCrunch da uygulamaya bağlı iki e-posta adresine e-posta gönderdi ve cevap bekledi. Bir adrese gönderilen e-posta, gelen kutusunun dolu olduğunu belirten bir mesajla geri döndü. Başka bir e-posta açıldı, ancak yanıtlanmadı ve bir takip e-postası açılmadı. Bu arada geliştiricinin Play Store girişinde listelenen web sitesi bozuk görünüyor.
Go SMS Pro Türkiye’de pek bilinen bir uygulama değil. Yine de Google Play’de rastlayıp yüklediniz ve kullanıyorsanız, paylaştığınız şeylerin internete sızmasını önlemek için farklı bir mesajlaşma uygulamasına geçmelisiniz.