Исследователи компании Trustwave обнаружили уязвимость в приложении GO SMS Pro, установленном более 100 000 000 раз. Из-за бага мультимедийные файлы (голосовые сообщения, видео и изображения), которыми обмениваются пользователи, оказались доступны любому желающему.
С сервера приложения можно извлечь даже те файлы, которые предназначались для пользователей, на устройствах которых GO SMS Pro не установлено. Для этого нужно использовать сокращенный URL вида https://gs.3g[.]cn/D/dd1efd/w, который применяется для перенаправления к CDN, используемый приложением для общих файлов. Такие URL-адреса генерируются последовательно и предсказуемо для каждого совместно используемого файла, когда это контент сохраняется на CDN-сервере. В итоге потенциальный злоумышленник получает возможность просматривать эти файлы, даже не зная самих URL-адресов и без какой-либо аутентификации.
Журналисты издания Bleeping Computer проверили выводы исследователей, изучив примерно 20 таких ссылок, среди которых обнаружились фотографии автомобилей пользователей, скриншоты различных сообщений, личные фотографии (в том числе эротические), видео, аудио и даже фотографии конфиденциальных документов.
Исследователи отмечают, что создать простой скрипт, который быстро генерировал бы списки адресов, ведущих на фото, видео и другие пользовательские файлы, это тривиальная задача.
Специалисты Trustwave уведомили разработчиков о проблеме еще 20 августа 2020 года, но так и не получили ответов на три своих письма. В итоге эксперты раскрыли данные об уязвимости публично. Bleeping Computer отмечает, что их попытки связаться с разработчиками тоже ни к чему не привели, а сайт компании вообще недоступен: вместо него посетители видят сообщение об успешной установке веб-сервера Tengine.