Обнаружившие уязвимость исследователи неоднократно пытались связаться с разработчиком, но безуспешно.
Насчитывающее более 100 млн загрузок Android-приложение для мгновенного обмена сообщениями GO SMS Pro содержит уязвимость, позволяющую посторонним похищать медиафайлы из чужой переписки. По словам специалистов ИБ-компании Trustwave, неавторизованный злоумышленник может получить доступ к личным голосовым сообщениям, видеозаписям и фотографиям, пересылаемым через приложение GO SMS Pro.
Медиафайлы, отправляемые получателям, у которых на смартфоне не установлен мессенджер GO SMS Pro, доступны на серверах приложения по укороченной ссылке, переадресовывающей получателя на сервер в сети доставки контента (CDN), где хранятся файлы пользователей. Укороченные ссылки генерируются последовательно (с помощью шестнадцатеричного счетчика) при каждой отправке файла, благодаря чему любой желающий может просматривать чужие файлы даже без ссылки на них. Как пояснили эксперты, злоумышленникам не составит труда написать простой скрипт для быстрого составления списка адресов, связанных с фотографиями и видеозаписями, отправляемыми через приложение GO SMS Pro.
«Вставив сгенерированные URL в расширения для работы с множеством вкладок в Chrome или Firefox, можно легко получить доступ к личным (и потенциально чувствительным) медиафайлам, отправленным пользователями приложения», - пояснили исследователи.
Специалисты Trustwave раскрыли уязвимость через 90 дней после того, как уведомили о ней разработчика GO SMS Pro. Первую попытку связаться с ним исследователи предприняли 18 августа, но не получили никакого ответа. Затем они отправили письмо в сентябре, октябре и ноябре, но также безрезультатно.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках