Aplikasi Pesan Instan Android Berbahaya, Umbar File Pengguna

Aplikasi pesan instan Android, GO SMS Pro, dinilai berbahaya lantaran mengumbar ke publik tiap file media yang dikirim pengguna.

Jadi, ketika pengguna mengirim file media seperti foto, video, dan pesan suara lewat aplikasi ini, SMS Go Pro akan mengunggah di server mereka dan menciptakan tautan ke file tersebut.

Tautan ini lantas dikirim ke penerima. Tautan bisa dikirim ke sesama pengguna SMS Go Pro atau tidak. Jika penerima juga menggunakan SMS Go Pro, tautan itu akan langsung menampilkan pesan media yang dikirim. Jika bukan pengguna, maka akan muncul pesan sebagai berikut, "saya mengirimkan klip audio: https://gs.3g.cn/D/dd1efd/w".

Tapi, yang menjadi masalah adalah tautan itu. Sebab, tautan ini tak dilindungi keamanan apapun. Sehingga, siapapun bisa membuka tautan itu dan melihat file yang dikirim pengguna.

Selain itu, alamat tautan yang digunakan untuk mengirim file sangat mudah ditebak. Jadi, siapapun bisa melihat file-file lain dengan mengubah alamat situs di bagian yang tepat. Secara teori, siapapun bahkan bisa menulis kode untuk menghasilkan URL yang berurutan. Jika digunakan untuk tujuan jahat, maka ada banyak data pribadi yang akan terekspos.

Melansir The Verge, dengan membongkar puluhan tautan yang dihasilkan aplikasi ini, mereka bisa menemukan nomor telepon pengguna, tangkapan layar berisi transfer bank, konfirmasi pembelian, alamat orang lain, catatan penangkapan, dan foto-foto eksplisit. 

Kerentanan keamanan ini sudah diberitahukan kepada pengembang beberapa bulan lalu. Namun, hingga kini pembuat aplikasi masih belum memberikan pembaruan. Padahal aplikasi pesan instan ini sudah mendapat lebih dari 100 juta pemasangan di Google Play Store.

Pengembang aplikasi juga tidak responsif, sehingga tidak jelas kapan kerentanan ini akan diperbaiki. Perdasarkan laporan perusahaan keamanan siber Trustwave, mereka sudah menghubungi pengembang empat kali sejak 18 Agustus lalu. Tapi tidak mendapat respons.

Berdasarkan laporan Trustwave, kerentanan ini ditemukan pada Go SMS Pro versi 7.91. Tidak diketahui apakah aplikasi versi lain ikut terpengaruh atau tidak.