Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Android-приложение GO SMS Pro все еще раскрывает сообщения пользователей

02/12/20

GoProGO SMS Pro, Android-приложение для обмена мгновенными сообщениями с более чем 100 млн установок, по-прежнему раскрывает личные сообщения миллионов пользователей, хотя разработчик уже почти две недели работает над исправлением проблемы утечки данных.

Уязвимость была обнаружена исследователями безопасности из компании Trustwave и позволяет неавторизованным злоумышленникам получить неограниченный доступ к конфиденциальным голосовым сообщениям, видео и фотографиям, предоставленным пользователями GO SMS Pro.

Доступ к личным файлам, отправленным пользователями тем, у которых не установлен GO SMS Pro, можно получить с серверов приложения через сокращенный URL-адрес, перенаправляющий на сервер сети доставки контента (CDN) для хранения всех общих сообщений. Однако сокращенные URL-адреса, отправляемые контактам без приложения, последовательно генерировались каждый раз, когда файлы передавались между пользователями и носителями, хранящимися на сервере CDN. Это упростило просмотр всех подобных файлов с частным доступом, даже без знания полного списка общих URL.

«Взяв сгенерированные URL-адреса и вставив их в расширение с несколькими вкладками в Chrome или Firefox, легко получить доступ к частным (и потенциально конфиденциальным) медиафайлам, отправленным пользователями этого приложения», — пояснили исследователи.

В новых версиях приложения проблема была лишь частично исправлена и все ранее предоставленные мультимедийные данные по-прежнему доступны, даже если функция общего доступа больше не работает в последней версии. К сожалению для тех, кто уже поделился конфиденциальными файлами с помощью GO SMS Pro, нет возможности удалить их с сервера хранения приложения. Таким образом, любой может загружать их в пакетном режиме с помощью скрипта, который генерирует список адресов, ссылающихся на фотографии и видео, опубликованные с использованием уязвимых версий приложения.

Изображения, загруженные с серверов GO SMS Pro, уже распространяются на подпольных форумах, и разработчики нескольких скриптов, используемых для перечисления и загрузки таких личных сообщений, обновляют их ежедневно.

Темы:AndroidприложенияУгрозыTrustwaveSMS
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...