Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Android-мессенджер со 100 млн загрузок раскрывает пересылаемые медиафайлы

20/11/20

ProНасчитывающее более 100 млн загрузок Android-приложение для мгновенного обмена сообщениями GO SMS Pro содержит уязвимость, позволяющую посторонним похищать медиафайлы из чужой переписки. По словам специалистов ИБ-компании Trustwave, неавторизованный злоумышленник может получить доступ к личным голосовым сообщениям, видеозаписям и фотографиям, пересылаемым через приложение GO SMS Pro.

Медиафайлы, отправляемые получателям, у которых на смартфоне не установлен мессенджер GO SMS Pro, доступны на серверах приложения по укороченной ссылке, переадресовывающей получателя на сервер в сети доставки контента (CDN), где хранятся файлы пользователей. Укороченные ссылки генерируются последовательно (с помощью шестнадцатеричного счетчика) при каждой отправке файла, благодаря чему любой желающий может просматривать чужие файлы даже без ссылки на них. Как пояснили эксперты, злоумышленникам не составит труда написать простой скрипт для быстрого составления списка адресов, связанных с фотографиями и видеозаписями, отправляемыми через приложение GO SMS Pro.

«Вставив сгенерированные URL в расширения для работы с множеством вкладок в Chrome или Firefox, можно легко получить доступ к личным (и потенциально чувствительным) медиафайлам, отправленным пользователями приложения», - пояснили исследователи.

Специалисты Trustwave раскрыли уязвимость через 90 дней после того, как уведомили о ней разработчика GO SMS Pro. Первую попытку связаться с ним исследователи предприняли 18 августа, но не получили никакого ответа. Затем они отправили письмо в сентябре, октябре и ноябре, но также безрезультатно.

Темы:AndroidприложенияУгрозыTrustwave
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...