Go aplicación de mensajería SMS Pro, que tiene más de 100 millones de instalaciones de Google Play Store, tiene un enorme agujero de seguridad que potencialmente permite a las personas acceder al contenido confidencial que ha subido a través de la aplicación. Y aunque el fabricante de la aplicación fue informado del problema hace meses, no ha realizado ninguna actualización para solucionar lo que está sucediendo.
Para tener una idea de cuánta información filtra la aplicación, esto es lo que TechCrunch logró encontrar: “Al ver solo unas pocas docenas de enlaces, encontramos el número de teléfono de una persona, una captura de pantalla de una transferencia bancaria, una confirmación de pedido que incluía la dirección de la casa de alguien, un registro de la prisión y fotos mucho más explícitas de lo que esperábamos, para ser honesto ”, dice el reportero de seguridad cibernética Zack Whittaker. Nada bueno.
Esto es lo que está sucediendo: Go SMS Pro carga todos los archivos multimedia que envía a Internet y hace que esos archivos sean accesibles con una URL, según un informe TrustWave. Cuando envía un mensaje con medios a través de Go SMS Pro, como una foto o un video, la aplicación carga el contenido en sus servidores, crea una URL que apunta a él y envía esa URL al destinatario. Si el destinatario también tiene Go SMS Pro, el contenido aparecerá directamente en el mensaje, pero la aplicación aún carga el archivo y crea ese enlace de acceso público en Internet.
Esa URL es donde está el problema. No se requiere autenticación para ver el enlace, lo que significa que cualquiera que lo tenga puede ver el contenido contenido. Y las URL generadas por la aplicación parecen tener una dirección secuencial y predecible, lo que significa que cualquiera puede ver otros archivos simplemente cambiando las partes correctas de la URL. En teoría, incluso podría escribir un script para generar automáticamente URL secuenciales para que pueda encontrar y explorar rápidamente muchos contenidos privados compartidos por personas que usan Go SMS Pro.
Peor aún, el desarrollador de la aplicación no responde, por lo que no está claro si esta vulnerabilidad se solucionará. Trustwave dijo que se ha puesto en contacto con el desarrollador cuatro veces desde el 18 de agosto de 2020 para notificarles de la vulnerabilidad, sin respuesta. TechCrunch Intenté enviar dos direcciones de correo electrónico conectadas a la aplicación por correo electrónico. Recibió un correo electrónico a una dirección con un mensaje de que la bandeja de entrada estaba llena. Se abrió otro correo electrónico, pero no fue respondido y no se abrió un correo electrónico de seguimiento. El borde Intenté contactar al desarrollador para hacer comentarios a través de un correo electrónico que figura en la lista de Play Store, pero el correo electrónico regresó con un mensaje de “bandeja de entrada completa del destinatario”. Y el sitio web del desarrollador que figura en la lista de Play Store parece estar roto.
Por lo tanto, si está utilizando Go SMS Pro ahora y desea evitar que las cosas que comparte se filtren en Internet, puede encontrar una aplicación de mensajería diferente.
“Apasionado especialista en tocino. Defensor de Internet. Adicto a la cerveza. Amable aficionado a los zombis. Experto en Internet”.