Недавно мы рассказывали о баге, обнаруженном в Android-приложении GO SMS Pro, установленном более 100 000 000 раз. Из-за уязвимости мультимедийные файлы (голосовые сообщения, видео и изображения), которыми обмениваются пользователи, оказались доступны любому желающему.
Исследователи Trustwave, нашедшие баг, писали, что с сервера приложения можно извлечь даже те файлы, которые предназначались для пользователей, на устройствах которых GO SMS Pro не установлено. Для этого нужно использовать сокращенный URL вида https://gs.3g[.]cn/D/dd1efd/w, который применяется для перенаправления к CDN, используемый приложением для общих файлов. Такие URL-адреса генерируются последовательно и предсказуемо для каждого совместно используемого файла, когда это контент сохраняется на CDN-сервере. В итоге потенциальный злоумышленник получает возможность просматривать эти файлы, даже не зная самих URL-адресов и без какой-либо аутентификации.
Увы, проблема по-прежнему актуальна и личные сообщения миллионов пользователей доступны любому желающему. Дело в том, что новая версия приложения была загружена в Play Store за день до публикации отчета исследователей Trustwave, а затем, 20 ноября, Google удалил приложение из Play Store (на следующий день после публикации отчета).
Хотя в итоге приложение было восстановлено, исследователи объясняют, что обновленная версия лишь частично устранила проблему: все мультимедийные данные пользователей по-прежнему доступны, хотя в последней версии GO SMS Pro отключена функция общего доступа к контенту.
К сожалению, пользователи, которые уже поделились конфиденциальными файлами через GO SMS Pro, не имеют возможности удалить их с серверов приложения. В сущности, разработчики приложения так не смогли заблокировать доступ к миллионам личных фотографий, видео и голосовых сообщений, загруженных до того, как баг был частично устранен. То есть любой желающий все еще может загрузить эти файлы с помощью простого скрипта, который генерирует список адресов, ссылающихся на фотографии и видео, опубликованные с использованием уязвимых версий приложения.
«К сожалению, мы наблюдаем активную деятельность, связанную с этой уязвимостью. На таких сайтах, как Pastebin и Github появляется больше инструментов и скриптов для эксплуатации проблемы, чем вы можете представить», — пишут специалисты Trustwave.
Хуже того, по данным аналитиков, загруженные с серверов GO SMS Pro изображения уже распространяются на черном рынке, а разработчики нескольких скриптов для скачивания данных и загрузки личных сообщений обновляют их едва ли не ежедневно. Хотя далеко не все «утекшие» медиафайлы связаны с конкретными пользователями, на некоторых из них можно найти лица, имена и другие идентифицирующие характеристики людей. Также среди файлов можно обнаружить водительские права, номера счетов медицинского страхования, юридические документы и контент более «романтического» характера.
Исследователи с сожалением отмечают, что эту проблему уже не решит даже удаление приложения из Play Store.
Хотя разработчики GO SMS Pro определенно знают о проблеме и даже пытаются ее исправить, Trustwave пишет, что так и не получила от них ответа ни на одно из своих писем.