Приложение Go SMS Pro раскрывает данные миллионов пользователей по ссылкам

В компании Trustwave обнаружили уязвимость в Android-приложении GO SMS Pro. Баг раскрывает мультимедийные данные, которыми обмениваются пользователи. Само приложение насчитывает более 100 миллионов установок.

Оказалось, что с сервера можно извлечь даже те файлы, которые предназначались для пользователей без установленного приложения. GO SMS Pro загружает файл на свои серверы и позволяет пользователю поделиться веб-адресом с помощью текстового сообщения, чтобы получатель мог скачать файл без установки приложения.