AVAST отправляет платные SMS
Совсем недавно ведущий разработчик и специалист по информационной безопасности AVAST заявил, что обнаружил в последнем релизе антивируса ошибку, в резуьтате которой происходит отправка SMS-сообщения на платный номер. Согласно его записи в блоге, он обнаружил уязвимость после тестирования приложения на своем смартфоне. Проверив баланс и недосчитавшись нескольких центов, он запросил у оператора сотовой связи детализацию телефонных звонков и СМС. В итоге выяснилось, что сумма в 12 центов была списана со счета мобильного телефона в результате отправки сообщения на платный номер в Чехии. Номер был зарегистрирован на компанию АВАСТ, однако в телефонной книге абонента он отсутсвтовал.
Данную уязвимость ощутили на себе еще несколько пользователей AVAST и сразу же сообщили об этом в службу поддержки. Согласитесь не очень приятно, когда приложение отвечающее за безопасность ее же и нарушает, даже в таком несущественном эквиваленте.
При подробном анализе приложения было выяснено, что данная функция предусмотрена специально. Сообщение отправляется на номер вендора при смене SIM-карты. Данная функция позволит пользователям украденных телефонов узнать номер нового владельца и связаться с ним, а также выяснить его местоположение. Идеальнее было бы сделать немного по другому: сообщение должно отправляться на дополнительный (доверенный) номер предыдущего абонента.
Возникает резонный вопрос, если я имею несколько карт и постоянно их меняю, то каждый раз с меня будет списываться эта сумма за SMS в Чехию. Однако, оказалось, что не все так плохо. Программа предусматривает наличие нескольких сим-карт у абонента и SMS будет высылаться только один раз.