GO SMS Pro 应用程序漏洞允许访问媒体文件,暴露用户敏感信息

Andrew 2020-11-20
专栏 - 资讯 发布于 2020-11-20 14:09:49 阅读 55 评论 0

GO SMS Pro是一个受欢迎的Android消息传递应用程序,安装量超过1亿,发现该消息受到未修补的安全漏洞的影响,该漏洞会公开暴露用户之间传输的媒体。

GO短信加强版

未经身份验证的攻击者可能会利用此漏洞访问应用程序用户之间共享的任何敏感媒体,包括私人语音消息,照片和视频。

该漏洞是由Trustwave的研究人员发现的,它会影响该应用程序的7.91版。漏洞版本于2020年2月18日上传到Google Play商店。

“ GO SMS Pro应用程序是一款很受欢迎的Messenger应用程序,下载量超过1亿,被发现可以公开展示应用程序用户之间传输的媒体。” TrustWave发布的这篇帖子中写道。“这种曝光包括私人语音消息,视频消息和照片。”

专家注意到,如果收件人没有安装GO SMS Pro应用程序,则该应用程序会通过SMS向收件人发送指向媒体文件的URL。然后,收件人可以通过单击链接通过浏览器访问媒体文件。

SpiderLabs专家发现无需任何身份验证或授权即可访问该链接,他们还发现URL链接是连续的(十六进制)且可预测的。

“此外,共享媒体文件时,无论收件人安装了该应用程序,都会生成一个链接。因此,恶意用户可能会访问通过此服务发送的任何媒体文件,以及将来发送的任何媒体文件。这显然会影响通过此应用程序发送的媒体内容的机密性。” 继续报告。

攻击者可以利用该漏洞生成URL列表,并在用户不知情的情况下访问用户数据。

研究人员还编写了一个简单的bash脚本来生成URL的示例列表,并演示攻击者如何轻松访问大量用户数据。

#!/ bin / bash 
(echo obase = 16; seq 1 $(((echo ibase = 16; echo FF| bc))| 
对于$(类别1)中的i,bc> 1 ; 做回声“ http://gs.3g.cn/D/dd1a$i / w”; 完成| tr -d“”

自2020年8月18日以来,这家网络安全公司试图多次与应用程序开发人员联系,但未收到任何回复。

从那时起,GO SMS Pro收到了两次更新,但是它们仍然没有修复该漏洞。

漏洞时间表下方:

  • 2020年8月18日–供应商没有回应
  • 2020年9月15日–与供应商联系,没有回应
  • 2020年10月14日–未与供应商联系,没有回复
  • 2020年11月16日–与供应商联系,没有回应
  • 2020年11月19日–已发布咨询
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!