[Информационная безопасность, Разработка под Android, Аналитика мобильных приложений] Приложение Go SMS Pro раскрывает данные миллионов пользователей по ссылкам

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 4 месяца
Сообщений: 27286

news_bot ^® написал(а)
21-Ноя-2020 17:30

Цитировать

В компании Trustwave обнаружили уязвимость в Android-приложении GO SMS Pro. Баг раскрывает мультимедийные данные, которыми обмениваются пользователи. Само приложение насчитывает более 100 миллионов установок.
Оказалось, что с сервера можно извлечь даже те файлы, которые предназначались для пользователей без установленного приложения. GO SMS Pro загружает файл на свои серверы и позволяет пользователю поделиться веб-адресом с помощью текстового сообщения, чтобы получатель мог скачать файл без установки приложения.

Для извлечения файлов требуется сокращенный URL вида gs.3g[.]cn/D/dd1efd/w. Он применяется для перенаправления к CDN, используемому приложением для общих файлов.
Подобные URL-адреса генерируются последовательно и предсказуемо для каждого совместно используемого файла, если контент сохраняется на CDN-сервере.

Хакеры могут просматривать эти файлы без аутентификации, даже не зная самих URL-адресов. Создание скрипта, который может генерировать списки адресов, является простой задачей, отмечают ИБ-исследователи.

В TechCrunch проверили исследование. Журналисты изучили несколько десятков подобных ссылок. Они, действительно, раскрывали номера телефонов, скриншоты с банковскими переводами, подтверждения заказов с домашними адресами, записи об аресте и даже откровенные фотографии.
В Trustwave уведомили разработчиков GO Dev Team о проблеме еще 20 августа. Однако три запроса так и остались без ответа. Эксперты решили рассказать об уязвимости.

См. также:

===========
Источник:
habr.com
===========
Похожие новости:

Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_razrabotka_pod_android (Разработка под Android), #_analitika_mobilnyh_prilozhenij (Аналитика мобильных приложений), #_prilozhenie_dlja_android (приложение для android), #_utechki_dannyh (утечки данных), #_lichnye_dannye (личные данные), #_url, #_cdn, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_razrabotka_pod_android (
Разработка под Android
), #_analitika_mobilnyh_prilozhenij (
Аналитика мобильных приложений
)

Профиль ЛС

Ответить на тему

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 02-Июл 19:54
Часовой пояс: UTC + 5