Go SMS Pro, salah satu aplikasi messaging popular di Android yang sudah diunduh lebih dari 100 juta kali ketahuan mengekspos foto, video dan file pribadi lainnya yang dikirimkan oleh pengguna. Parahnya, mereka tidak berusaha memperbaiki bug ini.
Celah ini pertama kali ditemukan oleh peneliti keamanan di Trustwave pada bulan Agustus lalu. Trustwave langsung mengontak pihak Go SMS Pro untuk memperbaiki masalah ini dalam waktu 90 hari.
Tapi tenggat waktu tersebut telah lewat dan Trustwave tidak mendengar apa-apa dari pihak Go SMS Pro. Mereka pun membagikan hasil temuannya kepada publik pada minggu ini.
Dikutip detikINET dari Tech Crunch, Jumat (20/11/2020) ketika pengguna Go SMS Pro mengirimkan foto, video atau file lainnya ke orang lain yang tidak menggunakan aplikasi ini, aplikasi tersebut akan langsung mengunggah file ke servernya.
Setelah diunggah, pengguna akan mendapatkan URL yang bisa dibagikan lewat pesan singkat agar penerima pesan bisa melihat file yang dikirim tanpa perlu menginstal Go SMS Pro.
Tapi peneliti Trustwave menemukan tautan ini dibuat berurutan dan mudah ditebak. Bahkan untuk file yang dibagikan antar sesama pengguna aplikasi, Go SMS Pro tetap mengunggahnya ke server dan membuat URL-nya.
Akibatnya siapa pun yang mengetahui URL yang mudah ditebak tersebut bisa menelusuri jutaan alamat web yang terhubung dengan file pengguna. Apalagi untuk mengakses tautan ini tidak dibutuhkan autentikasi dalam bentuk apapun, jadi siapa saja bisa melihatnya.
TechCrunch berhasil memverifikasi temuan Trustwave. Hanya dengan melihat beberapa tautan, mereka berhasil menemukan nomor telepon pengguna, screenshot transfer bank, konfirmasi pemesanan yang berisi alamat rumah seseorang, catatan kriminal, dan foto yang bersifat eksplisit.
Senior Security Research Manager Karl Sigler mengatakan celah ini kemungkinan besar tidak bisa digunakan untuk menargetkan pengguna tertentu. Tapi semua file yang dikirim lewat aplikasi ini terancam dilihat oleh publik.
Parahnya kreator Go SMS Pro sangat sulit dihubungi, jadi belum diketahui apakah celah ini akan diperbaiki. Trustwave mengatakan mereka telah mengontak pengembangnya empat kali sejak 18 Agustus 2020, dan situs developer yang ada di Play Store juga tidak bisa diakses.
Kalian ada yang menggunakan aplikasi Go SMS Pro detikers? Sebaiknya segera pindah ke aplikasi messaging lain untuk mencegah data dan file pribadi kalian bocor di internet.