聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Trustwave 公司的资深安全顾问 Richard Tan 表示,“这意味着用户之间的任意敏感媒体消息都存在遭未认证攻击者或好奇用户攻陷的风险。”Trustwave 公司指出,该漏洞存在于在2020年2月18日于谷歌应用商店发布的版本 7.91 中。
研究人员表示,自2020年8月18日起开始多次联系 app 作者,但并未收到任何回复。不过查看更新日志可知,GO SMS Pro 在9月29日更新(v7.92),之后是昨天发布的另外一次更新。然而,最新的这次更新版本中仍未解决该 0day。
当接收人未在设备上安装 GO SMS Pro app 时,媒体内容的展示方式会引发漏洞,从而导致信息遭泄露。Tan 指出,“如果接收人在设备上安装了 GO SMS Pro app,那么该 app 内就会自动展示媒体内容。然而,如果接收人没有安装 GO SMS Pro,那么媒体文件就会通过 SMS 以 URL 的方式被发送给接收人。用户之后会点击链接并通过浏览器查看媒体文件。”
不仅是该链接会被任意未认证用户访问,不管接收人是否已安装该 app,都会生成该 URL,因此可导致恶意人员访问通过该 app 发送的任意媒体文件。
具体而言,通过增加URL中的顺序十六进制值,该 0day 使任意用户可查看或监听其他用户之间共享的媒体信息。攻击者可通过该技术生成 URL 清单并在用户不知情的情况下窃取用户数据。
虽然该 0day 也可能影响 GO SMS Pro iOS 版,不过在发布补丁前,强烈建议用户不要使用该 app 发送媒体文件。
目前,GO SMS Pro 尚未就此事置评。
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~