Уязвимость в ICQ позволяет получить доступ к архиву переданных через сервис файлов

[McCormick]

После приобретения компанией Mail.ru некогда популярного сервиса обмена сообщениями ICQ был изменен способ передачи файлов между пользователями мессенджера. Если раньше файлы пересылались напрямую между отправителем и получателем, то сейчас отправитель закачивает файл на сервер компании, а получатель скачивает его по публичной ссылке. Ссылка на файл имеет вид http://files.icq.net/files/get?fileId=XXXXXX и для получения доступа к закачанному на сервер файлу необходимо знать только её, так как никаких мер, обеспечивающих ограничение доступа к файлу, не предпринимается. Поскольку динамически генерируемая часть ссылки состоит всего из шести символов (цифры или английские буквы в верхнем регистре), это дает возможность получения доступа ко всему архиву переданных в последнее время через ICQ файлов методом перебора. Несложно подсчитать, что всего таким образом доступно чуть более двух миллиардов комбинаций.

Про обнаруженную утечку данных написал блогер ntv в своем дневнике на сайте Живого Журнала. Как отмечается на его странице, сегодня в интернете появилась программа на языке Java, которая использует найденную уязвимость и случайным образом генерирует ссылки в заданном формате, после чего пробует скачать по получившимся ссылкам файлы. Из логов работающей программы видно, что большинство сгенерированных ссылок не соответствуют каким-либо файлам на сервере, часть ссылок ведет на слишком большие изображения или файлы других типов, которые сервер не отдает, но по части ссылок возвращаются закачанные кем-то ранее через ICQ личные фотографии и картинки.



Среди полученных с сервера изображений можно найти фотографии паспортов и сканы документов, скриншоты видеоигр и съёмку обнаженной натуры, да что там, даже котики есть. Думаю, не один человек сможет узнать на фотографиях из архива себя или своих близких. Стоит предположить, что полный архив полученных изображений в скором времени будет доступен через торренты.

Как отмечает блогер ntv, подобной уязвимости подвержен и мессенджер QIP, однако в нем ссылки имеют большую длину, а значит более устойчивы к перебору. Мы же отметим, что около двух лет назад подобная уязвимость была использована для получения доступа к архиву изображений, переданных через фотоприложение QIP для айфона. Как видно, программисты Mail.ru не особенно следят за подобными новостями.

http://habrahabr.ru/post/165533/
http://ntv.livejournal.com/289565.html

[psihoz26]

софт генерит рандомно числа используя символы 1234567890qwertyuiopasdfghjklz xcvbnm
а там какаято шифровка мб Hex еслибы это учли то меньше былобы пустых ссылок

Добавлено через 21 минуту
а вот как у маелру это выглядит))
http://files.mail.ru/S21KZS?t=1

[BuG_4F]

[HukoTuH]

BuG_4F, продолжайте, не останавливайтесь..

[psihoz26]

BuG_4F это всёже приятнее


Добавлено через 1 минуту
пс не про бдсм а про девушку :)

Добавлено через 17 минут
похоже уже латают

[n3kt0]

Из ЖЖ

Цитата:

UPD4! Все, разобрались. Мэйловцы тупо удалили DNS-запись сервера files.icq.net, но если заменить его на files.mail.ru – ВСЕ РАБОТАЕТ! Ахахаха, какие же там дибилы сидят.

Так вроде бы при использовании передачи файлов с помощью клиентов от mail.ru файлы заливались на ФО файлы@mail.ru т.к. у них шло объединение платформ.

Приходит сообщение с ссылкой files.mail.ru/files/get?fileId=ХХХХХХ, переходим по ней, идет редирект и в адресной строке видим download(номер серва).files.attachmail.ru/ХХХХХХ/(32 рандомных символа)/name.jpg(.png,.gif)?mime=1, убрав параметр ?mime=1 начнется скачка файла, этот же файл мы сможем скачать с десятисекундным ожиданием по адресу files.mail.ru/ХХХХХХ неизвестны лишь сроки хранения файлов, может месяц, а может год.

[n3kt0]

ID удлинили вместо 6 рандомных капс символов теперь 32, но принцип остался тем же.

Кто-то умудрился заработать на шантаже Ну и в память около терабайта фоток гуляет на торрентах.

Добавлено через 53 минуты
Из интернет варианта газеты «Ведомости»

Цитата:

Скрипт, действия которого блокировала Mail.ru Group, мог скачать лишь файлы, пересланные через ICQ недавно: они хранятся на сервере ограниченное время, а затем удаляются, говорит сотрудница пресс-службы Mail.ru Group. По ее словам, это первый случай, когда кто-то попытался скачать эти файлы, воспользовавшись тем, что для обмена ими ICQ использовала короткие ссылки, а не такие длинные, какие генерирует, например, почта Mail.ru. Риски для пользователей ICQ она считает крайне незначительными: файлы, которые могла скачать программа, не содержат данных о том, кто и кому их пересылал. А теперь в ICQ введены такие же безопасные длинные ссылки, как и в других сервисах Mail.ru Group, говорит она.

Содержит информацию о том, кто их пересылал. Берем фотку из ЖЖ



идём по адресу files.mail.ru/FRTHNF и видим отправителя ICQ#: 366449723, вбив в яндекс/гугл номер ICQ мы находим владельца vk.com/id15353925. Ещё есть возможность найти остальные фотки этого отправителя, репорт отправлен. Из же того же интернет издания

Цитата:

Эксперт по информбезопасности компании «Андэк» Олег Глебов советует пользователям ICQ, пересылавшим фото, на время заблокировать от внешних просмотров свои аккаунты — прежде всего в соцсетях: получив анонимные фото, злоумышленники могут использовать средства поиска похожих изображений.

Отправителей бывает три вида:







Анонимность можно получить путём удаления аккаунта. Вот такой незначительный риск.

Вся информация с личными данными предоставлена в ознакомительных целях. Любое её использование в противоправных целях преследуется по закону ;)