Go SMS Pro 애플리케이션, 비공개 메시지 노출해

Android chat app with 100 million installs exposes private messages

 

1억회 이상 설치된 안드로이드 메시징 애플리케이션인 Go SMS Pro가 사용자 간 공유된 비공개 멀티미디어 파일을 공개적으로 노출하고 있는 것으로 드러났습니다.

 

Trustwave 보안 연구원들은 3개월 전 인증되지 않은 공격자가 이 앱의 취약점을 악용해 GO SMS Pro 사용자가 공유한 비공개 음성 메시지, 영상, 사진에 접근할 수 있었던 것을 발견했습니다.

 

비공개로 공유된 미디어가 노출되는 과정

 

기기에 앱을 설치하지 않은 사용자에게 전송되는 비공개 미디어 파일은 GO SMS Pro가 공유 파일을 저장하는데 사용하는 콘텐츠 전송 네트워크(CDN) 서버로 연결되는 단축 URL을 통해 앱 서버에서 접근할 수 있습니다.

 

이 단축 URL은 사용자 간에 파일이 공유될 때, 미디어가 CDN 서버에 저장될 때 마다 16진수 카운터를 사용하여 순차적으로 생성됩니다.

 

이렇게 하면 공유 URL을 모르는 상태에서도 누구나 앱 사용자가 공유한 비공개 파일을 쉽게 확인할 수 있습니다.

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/android-chat-app-with-100-million-installs-exposes-private-messages/>

 

 

Bleeping Computer는 약 24개의 링크를 통해 연구원의 발견을 확인했으며 사용자의 자동차 사진, 메시지 및 페이스북 게시물의 스크린샷, 누드 사진, 영상, 음성 녹음, 민감 문서 사진까지도 찾을 수 있었습니다.

 

Trustwave의 연구원들은 이 취약한 앱을 통해 공유되는 사진, 영상으로 연결되는 주소를 빠르게 생성하는 간단한 스크립트를 만드는 것은 매우 쉽다고 밝혔습니다.

 

“생성된 URL을 크롬이나 파이어폭스의 멀티탭 확장에 붙여넣기만 하면, 사용자가 이 앱을 통해 전송한 비공개 미디어 파일을 확인하는 것은 매우 쉽습니다.”

 

개발사, 취약점 제보에 응답하지 않아

 

Trustwave는 지난 8월 18일 해당 앱의 개발자에게 이 취약점을 신고했으나 아무런 답변을 받지 못했습니다. 9월, 10월, 11월에도 연락을 시도했으나 답변을 받지 못했으며, 취약점을 신고한지 90일이 지나 취약점을 공개했습니다.

 

Bleeping Computer 또한 플레이스토어 페이지에 기재된 이메일 연락처를 통해 개발자에게 연락했지만 응답을 받을 수 없었습니다.

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/android-chat-app-with-100-million-installs-exposes-private-messages/>

 

 

또한 개발자의 편지함이 가득 차거나 너무 많은 메일을 받고 있어 이메일이 반송되었다는 경고를 받았습니다.

 

이 개발자의 웹사이트는 현재 사용할 수 없는 상태입니다. 방문할 경우 사이트의 콘텐츠 대신 Tengine 웹 서버가 성공적으로 설치되었다는 메시지가 표시됩니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/android-chat-app-with-100-million-installs-exposes-private-messages/

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-media-file-theft/