GO SMS Pro, додаток для обміну миттєвими повідомленнями Android, що має понад 100 мільйонів встановлень, досі наражає на небезпеку мільйони користувачів, хоча розробник майже два тижні працює над виправленням бага, пов’язаного з витоком даних.
Помилка, яку виявили дослідниками Trustwave три місяці тому і публічно повідомили про неї 19 листопада ц.р., дозволила зловмисникам несанкціоновано отримати необмежений доступ до голосових повідомлень, відео та фотографій, які передавалися приватно користувачами GO SMS Pro, повідомляє Bleeping Computer.
Як виявили проблему?
До приватних файлів, надісланих користувачами контактам, у яких не встановлено GO SMS Pro, можна отримати доступ із серверів програми через скорочену URL-адресу, яка перенаправляє на сервер мережі доставки вмісту (CDN), що використовується для зберігання всіх спільних повідомлень.
Однак скорочені URL-адреси, надіслані контактам без програми, послідовно генерувались кожного разу, коли файли передавались користувачам та носіям, що зберігаються на сервері CDN.
Завдяки цьому було дуже легко переглядати всі ці приватні спільні файли, навіть не знаючи повного списку спільних URL-адрес.
Як виявили дослідники, і Bleeping Computer зміг перевірити, спільні файли включають фотографії автомобілів користувачів, скріншоти інших приватних повідомлень та публікацій у Facebook, відео та аудіозаписи, фотографії конфіденційних документів та навіть оголені фотографії.
“Беручи створені URL-адреси та вставляючи їх у розширення з декількома вкладками в Chrome або Firefox, можна отримати доступ до приватних (і потенційно чутливих) медіа-файлів, надісланих користувачами цього додатка”, – пояснили дослідники.
Нові версії не усунули проблему витоку даних
“Нова версія програми була завантажена в Play Store за день до того, як ми випустили наші рекомендації, а Google видалила її з Play Store у п’ятницю, 20 листопада ц.р., наступного дня після їх виходу, – заявили вчені у звіті, який опублікувало видання Bleeping Computer на початку цього тижня. – Однак станом на понеділок, 23 листопада ц.р., Google відновив додаток Play Store з оновленою версією того ж дня”.
Незважаючи на це, після випуску нових версій для усунення недоліків виправлення частково усуває баги, що відкривають приватні файли користувачів, оскільки всі раніше доступні канали інформації досі доступні – навіть незважаючи на те, що функція спільного використання більше не працює в останній версії.
На жаль, для тих, хто вже поділився конфіденційними файлами за допомогою GO SMS Pro, немає можливості їх видалити з сервера зберігання програми.
Таким чином кожен може пакетно завантажувати їх, використовуючи скрипт, який генерує список адрес, що посилаються на фотографії та відео, якими користуються уразливі версії додатків.
Ще гірше те, що зображення, завантажені із серверів GO SMS Pro, вже розповсюджуються на підпільних форумах, і розробники кількох сценаріїв, що використовуються для переліку та завантаження таких приватних повідомлень, оновлюють їх щодня.
До цього часу, незважаючи на їх спроби, розробники програми не мали можливості заблокувати доступ до приватних фотографій, відео та голосових повідомлень мільйонів користувачів, завантажених до часткового усунення цієї вади.
Тому доступ до конфіденційних повідомлень користувачів може отримати кожен, хто використовує загальнодоступні інструменти, проблему, яку, на жаль, не можуть виправити, навіть якщо Google вирішить видалити програму з Play Store.
Навіть незважаючи на те, що Trustwave 18 серпня поділився деталями уразливості з розробником програми, вони не отримали жодної відповіді на жоден електронний лист. Bleeping Computer також звернувся до команди розробників, але їхні повідомлення також залишились без відповіді.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ
Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ
Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС
Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ
Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ
До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.
Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.
У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.
П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.