systemadmin.es > Seguridad > Publicadas fotos de usuarios por un fallo de seguridad de aplicación del iPhone

Publicadas fotos de usuarios por un fallo de seguridad de aplicación del iPhone

No soy usuario de iPhone por lo que no conocía la aplicación Quiptxt, pero solo en la descripción ya se puede deducir el problema de seguridad que le afecta:

Quip lets you text pictures to any phone!

1. Take a picture or choose from your library
2. Choose any contact
3. Recipient gets a text msg with a clickable link. Or if they have Quip, it comes as a push notification.

NOTE: Quip sends TEXT MESSAGES with clickable links or PUSH NOTIFICATIONS with no login necessary! You and your friends will save tons of money on MMS fees.

Aparentemente esta aplicación colgaba de un servidor las imágenes sin ningún tipo de protección usando solamente una combinación de 5 caracteres alfanuméricos para diferenciar las fotos. El problema aparece cuando a cualquiera se le puede ocurrir generar todas las combinaciones posibles y ir bajando los ficheros que los usuarios han subido, dónde hay fotos inocentes de mascotas o coches pero también de otras subidas de tono.

Imágenes de los usuarios publicadas

Imágenes de los usuarios publicadas

Actualmente el servidor se encuentra apagado para evitar más descargas masivas. Parece mentira que este tipo de problemas de seguridad sigan ocurriendo ya que da la sensación que cualquiera se daría cuenta del problema a simple vista, por lo que se hace difícil entender como los desarrolladores de la aplicación han dejado esta puerta abierta.

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>