La aplicación de mensajería Go SMS Pro carga todos los archivos que envía a Internet, lo cual es malo

Aplicación de mensajería Go SMS Pro, que tiene más de 100 millones de instalaciones de la tienda Google Play, tiene una falla de seguridad masiva que potencialmente permite a las personas acceder al contenido sensible que ha enviado usando la aplicación. Y a pesar de que el fabricante de la aplicación fue informado sobre el problema hace meses, no han realizado actualizaciones para solucionar lo que está sucediendo.

Para darte una idea de cuánta información filtra la aplicación, esto es lo que TechCrunch pudo encontrar: “Al ver solo unas pocas docenas de enlaces, encontramos el número de teléfono de una persona, una captura de pantalla de una transferencia bancaria, una confirmación de pedido que incluía la dirección de la casa de alguien, un registro de arresto y fotos mucho más explícitas de lo que esperábamos, para ser honesto ”, dice el reportero de ciberseguridad Zack Whittaker. No es bueno.

Esto es lo que está sucediendo: Go SMS Pro carga todos los archivos multimedia que envía a Internet y hace que esos archivos sean accesibles con una URL, según un informe de TrustWave. Cuando envía un mensaje con medios a través de Go SMS Pro, como una foto o un video, la aplicación carga el contenido en sus servidores, crea una URL que apunta a él y envía esa URL al destinatario. Si el destinatario también tiene Go SMS Pro, el contenido aparece directamente en el mensaje, pero la aplicación aún carga el archivo y aún crea ese enlace de acceso público en Internet.

Esa URL es donde está el problema. No se requiere autenticación para ver el enlace, lo que significa que cualquiera que lo tenga podría ver el contenido. Y las URL generadas por la aplicación aparentemente tienen una dirección secuencial y predecible, lo que significa que cualquiera puede ver otros archivos simplemente cambiando las partes correctas de la URL. En teoría, incluso podría escribir un script para generar automáticamente URL secuenciales de modo que pueda encontrar y navegar rápidamente a través de una gran cantidad de contenido privado compartido por personas que usan Go SMS Pro.

READ  Ofertas de Amazon Black Friday 2020 reveladas: reducciones en los últimos dispositivos Echo, timbres con video Ring, tabletas Fire HD y más a partir del 20 de noviembre

Peor aún, el desarrollador de la aplicación no ha respondido, por lo que no está claro si esta vulnerabilidad se solucionará alguna vez. Trustwave dijo que se ha puesto en contacto con el desarrollador cuatro veces desde el 18 de agosto de 2020 para notificarles sobre la vulnerabilidad, sin respuesta. TechCrunch Intenté enviar un correo electrónico a dos direcciones de correo electrónico conectadas a la aplicación. Un correo electrónico a una dirección se recuperó con un mensaje de que la bandeja de entrada estaba llena. Se abrió otro correo electrónico, pero no se respondió, y no se abrió un correo electrónico de seguimiento. El borde intentó comunicarse con el desarrollador para obtener comentarios a través de un correo electrónico que aparece en la lista de Play Store, pero el correo electrónico se recuperó con un mensaje de “bandeja de entrada del destinatario llena”. Y el sitio web del desarrollador que figura en la lista de Play Store parece estar roto.

Entonces, si está utilizando Go SMS Pro ahora y desea evitar que las cosas que comparte se filtren en Internet, es posible que desee encontrar una aplicación de mensajería diferente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *