Приложение Go SMS Pro раскрывает данные миллионов пользователей по ссылкам

[at_wrike]

Оказалось, что с сервера можно извлечь даже те файлы, которые предназначались для пользователей без установленного приложения.

Может это не баг, а фича?) Теперь файлами можно делиться со всеми, достаточно просто отправить им ссылку.

[Woodroof]

Баг в том, что извлечь можно всё. Такие ссылки должны генерироваться не последовательно, а, например, с использованием UUIDv4. Ссылки от Google Docs — вполне себе пример хорошей реализации. Впрочем, даже Гугл при запуске goo.gl на это напарывался.

[vmkazakoff]

Это очень длинные ссылки. В смс есть ограничение по длинне.

Меня больше удивляет что файлы не удаляли сразу после первого скачивания. Ну и если честно — я вообще не понимаю почему в 2020 ещё пользуются смс, и тем более не могу придумать кейса когда надо отправить/получить ссылку (для этого закачать что-то и потом скачать) и при этом не иметь возможности использовать любое другое приложение для отправки файла напрямую… Да хоть даже почта. Ну Вацап/Телега раз есть номер телефона.

[Woodroof]

140 символов, а UUID — всего 36. Не так уж и много.

[vmkazakoff]

А если не только латинские буквы то 65 символов ограничение. А надо ещё описание добавить — что это и зачем. И к 36 символам uuid надо добавить 10 символов самого домена. В общем может и влезает, но явно места сжирает много.

Если что — я не оправдываю решение, а объясняю почему они так решили сделать. Оправдать использование смс я вообще никак не могу.

[Daemon_Hell]

И это в HEX-преставлении, если использовать полный алфавит — символов будет меньше.

[algiraid]

Как ни печально, но это было ожидаемо.
В прошлом уже ловили Go Ex Launcher на слежке за пользователями.
Мне кажется странным и не логичным только то, что данный разработчик все ещё имеет доступ к официальному магазину приложений. Да, согласен, они как бы исправили тогда свою ошибку. Но — факт уже тогда имелся. А сейчас — вторая попытка "монетизации" приложения.
Ставлю на то, что это далеко не финал

[TimsTims]

Ну здесь все же не слежка, а вполне часто встречаемая ошибка предсказания идшников. Такое было и в Фейсбуке и ВКонтакте. И Тинькофф ругали в этом. (извините, ссылок не найду)

[Barnaby]

dd1efd

Чем они думали когда от нормальных хешей отказались? Понятно что от sha-512 пользователи будут в шоке, но не могли же они не думать о переборе.

[TimsTims]

Наверное о том, что кто-то будет этот код диктовать по телефону, или скриншотить и отправлять картинкой. Или отправлять по смс, и в любом из этих жизненных сценариев, нужна ссылка покороче. Зачем вообще делиться файлами, если есть почта, облака и телеграм?)

[vmkazakoff]

Все проще. Это же приложение для СМС. Тут априори ограничения по длине.

[Ravebinovich]

Ого, им ещё кто-то пользуется…

[victoriously]

Примерно тоже самое, что было и с Lightshot, кто-то даже делал программы перебора. Так что это(любой может открыть файл по короткой ссылке) скорее фича, чем баг.

[Vitaliy_Kamalin]

Lightshot банил за такие переборы. Интересно, есть ли тут что-то подобное.

[KennyGin]

Единственный конфиденциальный способ переслать данные через публичную шару — запароленный архив

[RiddickABSent]

Go Launcher, Go SMS…
2021: Go Wallet!
User: Buratino (root),
Password: krox-pax-fix

[McARIS74]

Про Вайбер забыли. Вот, на днях по ссылке переходил. Не успел даже начать опрос проходить, а пол и возраст Вайбер уже слил. Причем это я перенаправил на мазилу, ссылку. Тут хоть видно саму ссылку. А так вайбер сливает во встроенном браузере, без возможности управлять какими то элементами. Так что самое умное, это не устанавливать никаких смешных программ. Хотя, как общаться то тогда...

Скриншот