Приложение Go SMS Pro раскрывает данные миллионов пользователей по ссылкам

    image

    В компании Trustwave обнаружили уязвимость в Android-приложении GO SMS Pro. Баг раскрывает мультимедийные данные, которыми обмениваются пользователи. Само приложение насчитывает более 100 миллионов установок.

    Оказалось, что с сервера можно извлечь даже те файлы, которые предназначались для пользователей без установленного приложения. GO SMS Pro загружает файл на свои серверы и позволяет пользователю поделиться веб-адресом с помощью текстового сообщения, чтобы получатель мог скачать файл без установки приложения.

    image

    Для извлечения файлов требуется сокращенный URL вида gs.3g[.]cn/D/dd1efd/w. Он применяется для перенаправления к CDN, используемому приложением для общих файлов.
    Подобные URL-адреса генерируются последовательно и предсказуемо для каждого совместно используемого файла, если контент сохраняется на CDN-сервере.

    image

    Хакеры могут просматривать эти файлы без аутентификации, даже не зная самих URL-адресов. Создание скрипта, который может генерировать списки адресов, является простой задачей, отмечают ИБ-исследователи.

    image

    В TechCrunch проверили исследование. Журналисты изучили несколько десятков подобных ссылок. Они, действительно, раскрывали номера телефонов, скриншоты с банковскими переводами, подтверждения заказов с домашними адресами, записи об аресте и даже откровенные фотографии.

    В Trustwave уведомили разработчиков GO Dev Team о проблеме еще 20 августа. Однако три запроса так и остались без ответа. Эксперты решили рассказать об уязвимости.
    См. также:

    Комментарии 22

      0
      Оказалось, что с сервера можно извлечь даже те файлы, которые предназначались для пользователей без установленного приложения.

      Может это не баг, а фича?) Теперь файлами можно делиться со всеми, достаточно просто отправить им ссылку.
        +1

        Баг в том, что извлечь можно всё. Такие ссылки должны генерироваться не последовательно, а, например, с использованием UUIDv4. Ссылки от Google Docs — вполне себе пример хорошей реализации. Впрочем, даже Гугл при запуске goo.gl на это напарывался.

          +1

          Это очень длинные ссылки. В смс есть ограничение по длинне.


          Меня больше удивляет что файлы не удаляли сразу после первого скачивания. Ну и если честно — я вообще не понимаю почему в 2020 ещё пользуются смс, и тем более не могу придумать кейса когда надо отправить/получить ссылку (для этого закачать что-то и потом скачать) и при этом не иметь возможности использовать любое другое приложение для отправки файла напрямую… Да хоть даже почта. Ну Вацап/Телега раз есть номер телефона.

            0
            Меня больше удивляет что файлы не удаляли сразу после первого скачивания.

            Ну да, антивирус скачает, а пользователю фиг.
              +1

              140 символов, а UUID — всего 36. Не так уж и много.

                0

                А если не только латинские буквы то 65 символов ограничение. А надо ещё описание добавить — что это и зачем. И к 36 символам uuid надо добавить 10 символов самого домена. В общем может и влезает, но явно места сжирает много.


                Если что — я не оправдываю решение, а объясняю почему они так решили сделать. Оправдать использование смс я вообще никак не могу.

                  0
                  И это в HEX-преставлении, если использовать полный алфавит — символов будет меньше.
            +1

            Как ни печально, но это было ожидаемо.
            В прошлом уже ловили Go Ex Launcher на слежке за пользователями.
            Мне кажется странным и не логичным только то, что данный разработчик все ещё имеет доступ к официальному магазину приложений. Да, согласен, они как бы исправили тогда свою ошибку. Но — факт уже тогда имелся. А сейчас — вторая попытка "монетизации" приложения.
            Ставлю на то, что это далеко не финал

              0

              Ну здесь все же не слежка, а вполне часто встречаемая ошибка предсказания идшников. Такое было и в Фейсбуке и ВКонтакте. И Тинькофф ругали в этом. (извините, ссылок не найду)

              0
              dd1efd

              Чем они думали когда от нормальных хешей отказались? Понятно что от sha-512 пользователи будут в шоке, но не могли же они не думать о переборе.

                0

                Наверное о том, что кто-то будет этот код диктовать по телефону, или скриншотить и отправлять картинкой. Или отправлять по смс, и в любом из этих жизненных сценариев, нужна ссылка покороче. Зачем вообще делиться файлами, если есть почта, облака и телеграм?)

                  0

                  Все проще. Это же приложение для СМС. Тут априори ограничения по длине.

                0
                Ого, им ещё кто-то пользуется…
                  0
                  Примерно тоже самое, что было и с Lightshot, кто-то даже делал программы перебора. Так что это(любой может открыть файл по короткой ссылке) скорее фича, чем баг.
                    0
                    Lightshot банил за такие переборы. Интересно, есть ли тут что-то подобное.
                    +1
                    Единственный конфиденциальный способ переслать данные через публичную шару — запароленный архив
                      +1

                      Go Launcher, Go SMS…
                      2021: Go Wallet!
                      User: Buratino (root),
                      Password: krox-pax-fix

                        +1
                        Про Вайбер забыли. Вот, на днях по ссылке переходил. Не успел даже начать опрос проходить, а пол и возраст Вайбер уже слил. Причем это я перенаправил на мазилу, ссылку. Тут хоть видно саму ссылку. А так вайбер сливает во встроенном браузере, без возможности управлять какими то элементами. Так что самое умное, это не устанавливать никаких смешных программ. Хотя, как общаться то тогда...
                        Скриншот
                        image

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое