De populaire sms-app voor Android "Go SMS Pro", die meer dan honderd miljoen installaties heeft, lekte foto's, berichten en andere uitgewisselde media van gebruikers. Dat ontdekte securitybedrijf Trustwave. Go SMS Pro is een applicatie die de standaard sms-app kan vervangen.

Via de app kunnen gebruikers allerlei media uitwisselen, zoals foto's, spraakberichten en filmpjes. Wanneer de ontvangende partij ook van Go SMS Pro gebruikmaakt wordt de verstuurde media meteen binnen de app weergegeven. Heeft de ontvanger de app niet geïnstalleerd, dan ontvangt hij via sms een downloadlink. Via de link kan het bestand in kwestie vervolgens in een browser worden bekeken.

Deze downloadlinks zijn zonder authenticatie of autorisatie voor iedereen op internet toegankelijk. Daarnaast blijkt dat de downloadlink opeenvolgend en voorspelbaar is. Het is zo eenvoudig voor een aanvaller om alle uitgewisselde media via Go SMS Pro te onderscheppen.

De onderzoekers waarschuwden de ontwikkelaar op 18 augustus, 15 september, 14 oktober en 16 november van dit jaar, maar kregen geen reactie. Daarop hebben ze de details van de kwetsbaarheid openbaar gemaakt en het advies gegeven om via de app geen gevoelige media uit te wisselen. Het beveiligingslek is bevestigd in versie 7.91 van de app. In oktober verscheen versie 7.92 en gisteren kwam versie 7.93 uit. Of daarmee het probleem is verholpen is onbekend.