Ứng dụng tin nhắn hơn 100 triệu lượt tải từ Google Play có lỗ hổng bảo mật lớn
Ứng dụng nhắn tin Go SMS Pro hiện đang có lỗ hổng bảo mật lớn gây ra nhiều nguy hiểm cho người dùng
Mặc dù có hơn 100 triệu lượt cài đặt từ cửa hàng Google Play, tuy nhiên vẫn có một lỗ hổng bảo mật lớn cho người dùng. Nó có tiềm ẩn cho phép người khác truy cập vào những nội dung nhạy cảm mà bạn đã gửi khi sử dụng app. Mặc dù nhà sản xuất thông báo về vấn đề này nhiều tháng trước, nhưng họ vẫn chưa có biện pháp để khắc phục những gì đang xảy ra.
TechCrunch cho biết thêm :”Chỉ với vài đường liên kết mà chúng tôi đã thấy số điện thoại, ảnh chụp màn hình chuyển khoản ngân hàng, xác nhận đơn đặt hàng bao gồm địa chỉ nhà riêng, biên bản bắt giữ và những bức ảnh có chất lượng rõ hơn nhiều so với những gì chúng tôi mong đợi.” phóng viên an ninh mạng Zack Whittaker cho biết, rõ ràng điều đó không an toàn.
Video đang HOT
Theo một báo cáo của Trustwave, Go SMS Pro tải các tệp phương tiện của bạn lên internet và chúng có thể được truy cập thông qua URL. Khi bạn gửi ảnh hay video qua Go SMS Pro, nó sẽ tải thông tin đó lên máy chủ, tạo một đường URL và gửi đường link đó cho người khác. Nếu người nhận cũng sử dụng Go SMS Pro, đường link đó sẽ được gửi trực tiếp trong tin nhắn, trong khi nó cũng tự tạo URL và công khai nó trên internet.
URL chính là thứ đáng lo ngại, bất kì đường link liên kết nào cũng có thể truy cập một cách công khai. Các URL do ứng dụng tạo ra dường như có địa chỉ tuần tự và nó có thể đoán trước được, có nghĩa là ai cũng có thể xem các tệp khác chỉ bằng cách thay đổi kí tự đường liên kết.
Tệ hơn nữa, phía nhà phát triển đã không có bất cứ phản hồi nào về lỗ hổng này. Trustwave cho biết họ đã bốn lần liên hệ với phía nhà phát triển kể từ ngày 18 tháng 8 năm 2020 để thông báo cho họ về lỗ hổng bảo mật này, nhưng không có bất kì phản hồi gì. TechCrunch đã thử gửi email đến 2 địa chỉ kết nối với ứng dụng. Email đầu tiên đến một địa chỉ bị trả lại với thông báo rằng hộp thư đến đã đầy. Một email khác đã được mở nhưng không được hồi âm và email còn lại không được mở. The Verge đã cố gắng liên hệ với nhà phát triển để thông báo thông qua một email có trên danh sách tại Cửa hàng Play, nhưng email bị trả lại với thông báo “hộp thư đến của người nhận đã đầy”. Trang web của nhà phát triển ở Google Play dường như đã bị hỏng.
Vì vậy, bạn nên tìm kiếm một ứng dụng nhắn tin khác để đảm bảo an toàn cho mình.
Twitter vá lỗ hổng bảo mật xâm nhập tin nhắn trên ứng dụng Android
Một lỗ hổng trên ứng dụng Android có thể làm lộ thông tin riêng tư, vừa được Twitter vá lại và công bố với người dùng.
Twitter vá lỗ hổng trên ứng dụng Android
Twitter đã tiết lộ thông tin về một lỗ hổng có thể đã gây ra một đòn đánh mạnh vào vấn đề bảo mật của nền tảng này. Một bài viết trên blog thông báo gần đây họ đã khắc phục sự cố bảo mật với ứng dụng Android, mà lỗ hổng này có thể cho phép kẻ tấn công truy cập vào Direct Messages và dữ liệu riêng tư khác của bạn thông qua một ứng dụng độc hại.
Lỗ hổng này có liên quan đến vấn đề bảo mật với Android 8 và 9, có thể phá vỡ các quyền hệ thống của Android có chức năng bảo vệ chống truy cập trái phép vào dữ liệu riêng tư. Trước đó Google khắc phục sự cố vào tháng 10.2018 thông qua một bản vá bảo mật, đã được cung cấp cho 96% người dùng Twitter trên Android.
Hiện tại, Twitter không tìm thấy bằng chứng nào cho thấy lỗ hổng này đã bị khai thác đối với người dùng của mình. Tuy nhiên không có gì đảm bảo rằng nó sẽ không bị dòm ngó trong tương lai, vì vậy họ đã cập nhật ứng dụng trên Android để ngăn các ứng dụng bên ngoài truy cập vào dữ liệu bên trong ứng dụng của Twitter.
Twitter yêu cầu người dùng nên cập nhật ứng dụng lên phiên bản mới nhất và tuyên bố sẽ xác định các thay đổi đối với các quy trình bảo mật của mình để tránh các vấn đề tương tự xảy ra trong tương lai. Lỗ hổng này không ảnh hưởng đến các ứng dụng web và ứng dụng iOS của Twitter.
Nhiều ứng dụng chống virus phổ biến dễ bị lỗ hổng bảo mật Rack911 Labs vừa tiết lộ 28 chương trình chống virus phổ biến, bao gồm Microsoft Defender, McAfee Endpoint Security và Malwarebytes, đang đối diện với lỗ hổng bảo mật. Người dùng nên cập nhật các phần mềm bảo mật để phòng tránh symlink races Theo Engadget, báo cáo cho biết lỗ hổng bảo mật này cho phép kẻ tấn công xóa các tập...