Приложение Go SMS Pro раскрывает данные миллионов пользователей по ссылкам +21


AliExpress RU&CIS

image

В компании Trustwave обнаружили уязвимость в Android-приложении GO SMS Pro. Баг раскрывает мультимедийные данные, которыми обмениваются пользователи. Само приложение насчитывает более 100 миллионов установок.

Оказалось, что с сервера можно извлечь даже те файлы, которые предназначались для пользователей без установленного приложения. GO SMS Pro загружает файл на свои серверы и позволяет пользователю поделиться веб-адресом с помощью текстового сообщения, чтобы получатель мог скачать файл без установки приложения.

image

Для извлечения файлов требуется сокращенный URL вида gs.3g[.]cn/D/dd1efd/w. Он применяется для перенаправления к CDN, используемому приложением для общих файлов.
Подобные URL-адреса генерируются последовательно и предсказуемо для каждого совместно используемого файла, если контент сохраняется на CDN-сервере.

image

Хакеры могут просматривать эти файлы без аутентификации, даже не зная самих URL-адресов. Создание скрипта, который может генерировать списки адресов, является простой задачей, отмечают ИБ-исследователи.

image

В TechCrunch проверили исследование. Журналисты изучили несколько десятков подобных ссылок. Они, действительно, раскрывали номера телефонов, скриншоты с банковскими переводами, подтверждения заказов с домашними адресами, записи об аресте и даже откровенные фотографии.

В Trustwave уведомили разработчиков GO Dev Team о проблеме еще 20 августа. Однако три запроса так и остались без ответа. Эксперты решили рассказать об уязвимости.

См. также:




Комментарии (22):

  1. ittakir
    /#22335114

    Решил проверить.
    Слегка изменил цифры и сразу же такой кадр с первого раза: gs.3g.cn/D/dd1a34/w
    Везет мне на всякую гадость

    • welovelain
      /#22335130 / +1

      По ссылке хуй, если что.

      • Mi7teR
        /#22335372

        да, это так. Не проверяйте, NSFW

      • Olanonymous
        /#22335564 / +1

        Тот самый, который разработчики ложили на безопасность.

  2. at_wrike
    /#22335522

    Оказалось, что с сервера можно извлечь даже те файлы, которые предназначались для пользователей без установленного приложения.

    Может это не баг, а фича?) Теперь файлами можно делиться со всеми, достаточно просто отправить им ссылку.

    • Woodroof
      /#22335968

      Баг в том, что извлечь можно всё. Такие ссылки должны генерироваться не последовательно, а, например, с использованием UUIDv4. Ссылки от Google Docs — вполне себе пример хорошей реализации. Впрочем, даже Гугл при запуске goo.gl на это напарывался.

      • vmkazakoff
        /#22338494

        Это очень длинные ссылки. В смс есть ограничение по длинне.


        Меня больше удивляет что файлы не удаляли сразу после первого скачивания. Ну и если честно — я вообще не понимаю почему в 2020 ещё пользуются смс, и тем более не могу придумать кейса когда надо отправить/получить ссылку (для этого закачать что-то и потом скачать) и при этом не иметь возможности использовать любое другое приложение для отправки файла напрямую… Да хоть даже почта. Ну Вацап/Телега раз есть номер телефона.

        • sumanai
          /#22338776

          Меня больше удивляет что файлы не удаляли сразу после первого скачивания.

          Ну да, антивирус скачает, а пользователю фиг.

        • Woodroof
          /#22339234

          140 символов, а UUID — всего 36. Не так уж и много.

          • vmkazakoff
            /#22339294

            А если не только латинские буквы то 65 символов ограничение. А надо ещё описание добавить — что это и зачем. И к 36 символам uuid надо добавить 10 символов самого домена. В общем может и влезает, но явно места сжирает много.


            Если что — я не оправдываю решение, а объясняю почему они так решили сделать. Оправдать использование смс я вообще никак не могу.

          • Daemon_Hell
            /#22341208

            И это в HEX-преставлении, если использовать полный алфавит — символов будет меньше.

  3. /#22335566

    Как ни печально, но это было ожидаемо.
    В прошлом уже ловили Go Ex Launcher на слежке за пользователями.
    Мне кажется странным и не логичным только то, что данный разработчик все ещё имеет доступ к официальному магазину приложений. Да, согласен, они как бы исправили тогда свою ошибку. Но — факт уже тогда имелся. А сейчас — вторая попытка "монетизации" приложения.
    Ставлю на то, что это далеко не финал

    • TimsTims
      /#22335748

      Ну здесь все же не слежка, а вполне часто встречаемая ошибка предсказания идшников. Такое было и в Фейсбуке и ВКонтакте. И Тинькофф ругали в этом. (извините, ссылок не найду)

  4. Barnaby
    /#22335634

    dd1efd

    Чем они думали когда от нормальных хешей отказались? Понятно что от sha-512 пользователи будут в шоке, но не могли же они не думать о переборе.

    • TimsTims
      /#22336406

      Наверное о том, что кто-то будет этот код диктовать по телефону, или скриншотить и отправлять картинкой. Или отправлять по смс, и в любом из этих жизненных сценариев, нужна ссылка покороче. Зачем вообще делиться файлами, если есть почта, облака и телеграм?)

      • vmkazakoff
        /#22338430

        Все проще. Это же приложение для СМС. Тут априори ограничения по длине.

  5. Ravebinovich
    /#22336260

    Ого, им ещё кто-то пользуется…

  6. victoriously
    /#22338464

    Примерно тоже самое, что было и с Lightshot, кто-то даже делал программы перебора. Так что это(любой может открыть файл по короткой ссылке) скорее фича, чем баг.

    • Vitaliy_Kamalin
      /#22344236

      Lightshot банил за такие переборы. Интересно, есть ли тут что-то подобное.

  7. KennyGin
    /#22338582

    Единственный конфиденциальный способ переслать данные через публичную шару — запароленный архив

  8. RiddickABSent
    /#22339422

    Go Launcher, Go SMS…
    2021: Go Wallet!
    User: Buratino (root),
    Password: krox-pax-fix

  9. McARIS74
    /#22346906 / +1

    Про Вайбер забыли. Вот, на днях по ссылке переходил. Не успел даже начать опрос проходить, а пол и возраст Вайбер уже слил. Причем это я перенаправил на мазилу, ссылку. Тут хоть видно саму ссылку. А так вайбер сливает во встроенном браузере, без возможности управлять какими то элементами. Так что самое умное, это не устанавливать никаких смешных программ. Хотя, как общаться то тогда...

    Скриншот
    image