GO SMS Pro, Android-приложение для обмена мгновенными сообщениями, которое было установлено более чем 100 миллионами, публично раскрывает личные мультимедийные файлы, которыми пользуются его пользователи.
Злоумышленники, злоупотребляющие уязвимостью в приложении, могут получить доступ к приватным голосовым сообщениям, видео и фотографиям, которыми обмениваются пользователи GO SMS Pro, как обнаружили исследователи безопасности Trustwave три месяца назад.
Как раскрываются личные медиафайлы
К частным медиафайлам, отправленным пользователями контактам, на устройствах которых не установлено приложение, можно получить доступ с серверов приложения с помощью сокращенного URL-адреса, который перенаправляет на сервер сети доставки контента (CDN), который GO SMS Pro использует для хранения всех общих файлы.Эти сокращенные URL-адреса генерируются последовательно (с использованием шестнадцатеричного счетчика) каждый раз, когда файл совместно используется пользователями, а носитель сохраняется на сервере CDN.
Это позволяет любому пользователю легко просматривать все личные файлы, которыми пользуются пользователи приложения, даже не зная ни одного из общих URL-адресов.
BleepingComputer смог подтвердить выводы исследователей, просмотрев примерно два десятка таких ссылок и обнаружив фотографии автомобилей пользователей, скриншоты других сообщений и публикации в Facebook, фотографии обнаженных людей, видео, аудиозаписи и даже фотографии конфиденциальных документов.
Исследователи Trustwave заявили, что создать простой скрипт, который бы быстро генерировал список адресов со ссылками на фотографии и видео, опубликованные с помощью этого уязвимого приложения, - тривиальная задача.
«Взяв сгенерированные URL-адреса и вставив их в расширение с несколькими вкладками в Chrome или Firefox, легко получить доступ к частным (и потенциально конфиденциальным) медиафайлам, отправленным пользователями этого приложения», - пояснили они .
Радиомолчание
Trustwave раскрыла уязвимость через 90 дней после обращения к разработчику приложения 18 августа и после того, как не получила ответа на три других письма, отправленных в сентябре, октябре и ранее на этой неделе, в ноябре.BleepingComputer также обратился к команде разработчиков, используя адрес электронной почты, доступный на странице приложения в Play Store, но наши сообщения также остались без ответа.
Что еще хуже, мы были предупреждены о том, что наша электронная почта отклонена либо из-за переполнения почтового ящика разработчика, либо из-за того, что они получают слишком много сообщений.
Веб -сайт разработчика в настоящее время недоступен, и клиенты, которые хотят его посетить, видят сообщение об успешной установке веб-сервера Tengine вместо содержимого сайта.