Исследователи компании Trustwave обнаружили уязвимость в приложении GO SMS Pro, установленном более 100 000 000 раз. Из-за бага мультимедийные файлы (голосовые сообщения, видео и изображения), которыми обмениваются пользователи, оказались доступны любому желающему.

С сервера приложения можно извлечь даже те файлы, которые предназначались для пользователей, на устройствах которых GO SMS Pro не установлено. Для этого нужно использовать сокращенный URL вида https://gs.3g[.]cn/D/dd1efd/w, который применяется для перенаправления к CDN, используемый приложением для общих файлов. Такие URL-адреса генерируются последовательно и предсказуемо для каждого совместно используемого файла, когда это контент сохраняется на CDN-сервере. В итоге потенциальный злоумышленник получает возможность просматривать эти файлы, даже не зная самих URL-адресов и без какой-либо аутентификации.

Журналисты издания Bleeping Computer проверили выводы исследователей, изучив примерно 20 таких ссылок, среди которых обнаружились фотографии автомобилей пользователей, скриншоты различных сообщений, личные фотографии (в том числе эротические), видео, аудио и даже фотографии конфиденциальных документов.

Исследователи отмечают, что создать простой скрипт, который быстро генерировал бы списки адресов, ведущих на фото, видео и другие пользовательские файлы, это тривиальная задача.

Специалисты Trustwave уведомили разработчиков о проблеме еще 20 августа 2020 года, но так и не получили ответов на три своих письма. В итоге эксперты раскрыли данные об уязвимости публично. Bleeping Computer отмечает, что их попытки связаться с разработчиками тоже ни к чему не привели, а сайт компании вообще недоступен: вместо него посетители видят сообщение об успешной установке веб-сервера Tengine.

2 комментария

  1. Аватар

    Night_ReDCaT

    22.11.2020 в 07:13

    Гениально, ничего что разработчик приложений серии Go уже года 3 кажется как забил на свои приложения?

    • Аватар

      falcon4fun

      22.11.2020 в 08:25

      Плюсую 🙂 Лет 5+ назад хорошие утилитки были. А учивая, что лет 5 назад от той же Go keyboard мододелы 4pda отказались, т.к. разрабы ничего не фиксят.. 🙂

Оставить мнение