02/12/20
GO SMS Pro, Android-приложение для обмена мгновенными сообщениями с более чем 100 млн установок, по-прежнему раскрывает личные сообщения миллионов пользователей, хотя разработчик уже почти две недели работает над исправлением проблемы утечки данных.
Уязвимость была обнаружена исследователями безопасности из компании Trustwave и позволяет неавторизованным злоумышленникам получить неограниченный доступ к конфиденциальным голосовым сообщениям, видео и фотографиям, предоставленным пользователями GO SMS Pro.
Доступ к личным файлам, отправленным пользователями тем, у которых не установлен GO SMS Pro, можно получить с серверов приложения через сокращенный URL-адрес, перенаправляющий на сервер сети доставки контента (CDN) для хранения всех общих сообщений. Однако сокращенные URL-адреса, отправляемые контактам без приложения, последовательно генерировались каждый раз, когда файлы передавались между пользователями и носителями, хранящимися на сервере CDN. Это упростило просмотр всех подобных файлов с частным доступом, даже без знания полного списка общих URL.
«Взяв сгенерированные URL-адреса и вставив их в расширение с несколькими вкладками в Chrome или Firefox, легко получить доступ к частным (и потенциально конфиденциальным) медиафайлам, отправленным пользователями этого приложения», — пояснили исследователи.
В новых версиях приложения проблема была лишь частично исправлена и все ранее предоставленные мультимедийные данные по-прежнему доступны, даже если функция общего доступа больше не работает в последней версии. К сожалению для тех, кто уже поделился конфиденциальными файлами с помощью GO SMS Pro, нет возможности удалить их с сервера хранения приложения. Таким образом, любой может загружать их в пакетном режиме с помощью скрипта, который генерирует список адресов, ссылающихся на фотографии и видео, опубликованные с использованием уязвимых версий приложения.
Изображения, загруженные с серверов GO SMS Pro, уже распространяются на подпольных форумах, и разработчики нескольких скриптов, используемых для перечисления и загрузки таких личных сообщений, обновляют их ежедневно.
