Как стать автором
Обновить

Приложение Go SMS Pro раскрывает данные миллионов пользователей по ссылкам

Время на прочтение 1 мин
Количество просмотров 22K
image

В компании Trustwave обнаружили уязвимость в Android-приложении GO SMS Pro. Баг раскрывает мультимедийные данные, которыми обмениваются пользователи. Само приложение насчитывает более 100 миллионов установок.

Оказалось, что с сервера можно извлечь даже те файлы, которые предназначались для пользователей без установленного приложения. GO SMS Pro загружает файл на свои серверы и позволяет пользователю поделиться веб-адресом с помощью текстового сообщения, чтобы получатель мог скачать файл без установки приложения.

image

Для извлечения файлов требуется сокращенный URL вида gs.3g[.]cn/D/dd1efd/w. Он применяется для перенаправления к CDN, используемому приложением для общих файлов.
Подобные URL-адреса генерируются последовательно и предсказуемо для каждого совместно используемого файла, если контент сохраняется на CDN-сервере.

image

Хакеры могут просматривать эти файлы без аутентификации, даже не зная самих URL-адресов. Создание скрипта, который может генерировать списки адресов, является простой задачей, отмечают ИБ-исследователи.

image

В TechCrunch проверили исследование. Журналисты изучили несколько десятков подобных ссылок. Они, действительно, раскрывали номера телефонов, скриншоты с банковскими переводами, подтверждения заказов с домашними адресами, записи об аресте и даже откровенные фотографии.

В Trustwave уведомили разработчиков GO Dev Team о проблеме еще 20 августа. Однако три запроса так и остались без ответа. Эксперты решили рассказать об уязвимости.
См. также:

Теги:
Хабы:
+21
Комментарии 18
Комментарии Комментарии 18

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн