Op 29 december schreven we over het gat in de beveiliging van Smith Micro. Iedereen die het wilde kon via hun site gratis een volledig werkende versie van FAXstf ophalen. We schreven Smith Micro een vriendelijk briefje om ze op dit lek te wijzen. En we schreven nog maar eens een briefje toen we twee dagen later nog niks hadden gehoord. Inmiddels is het een nieuw jaar en hebben we nog steeds geen antwoord gekregen. Toch is de site iets aangepast en lijkt de methode niet meer te werken. Toch flauw dat ze niet even hebben geantwoord hè?

Hier dan in ieder geval nog even de uitleg; als je FAXstf koopt krijg je een download link, die link is opgebouwd uit je serienummer + de datum van vandaag. Als volgt:

https://store.smithmicro.com/buy/ WebMerchant/WebDelivery/20011227_0003.tpl

Waar dus 20011227 voor de datum staat en 0003 een ordernummer is. Je zult zien dat deze link niet werkt. Maar eerder was het een kwestie van de datum kloppend maken en een geldig ordernummer vinden. We begonnen bij 0001 en bij 0003 was het al raak…

En als je dan nog even verder keek zag je dat de uiteindelijke download link eigenlijk gewoon ftp://store.smithmicro.com/XoSP_faxstfx.hqx was. En dat maakte het eigenlijk nog veel makkelijk…

Onze advocaat laat nog weten dat het downloaden van deze software illegaal is en dat wij dat natuurlijk ook niet hebben gedaan. Wel hebben we netjes melding gemaakt van het gat in de beveiliging. We raden onze lezers zeer af om zelf te gaan proberen om het pakket alsnog op illegale wijze te pakken te krijgen.

Namens ons persoonlijk: succes!

Smith Micro