Go SMS Pro, una de las aplicaciones de mensajería más populares para Android, muestra fotos, videos y otros archivos enviados de forma privada por sus usuarios. Peor aún, el fabricante de la aplicación no ha hecho nada para corregir el error.
Los investigadores de seguridad de Trustwave descubrieron la falla en agosto y se comunicaron con el fabricante de la aplicación con un plazo de 90 días para solucionar el problema, como es una práctica estándar en la divulgación de vulnerabilidades para permitir suficiente tiempo para una solución. Pero una vez transcurrido el plazo sin recibir respuesta, los investigadores se hicieron públicos.
Trustwave compartió sus hallazgos con TechCrunch esta semana.
Cuando un usuario de Go SMS Pro envía una foto, video u otro archivo a alguien que no tiene la aplicación instalada, la aplicación carga el archivo en sus servidores y le permite al usuario compartir una dirección web por mensaje de texto para que el destinatario pueda ver el archivo sin instalar la aplicación. Pero los investigadores encontraron que estas direcciones web eran secuenciales. De hecho, cada vez que se compartía un archivo, incluso entre usuarios de la aplicación, se generaba una dirección web independientemente. Eso significaba que cualquiera que supiera acerca de la dirección web predecible podría haber pasado por millones de direcciones web diferentes a los archivos de los usuarios.
Go SMS Pro tiene más de 100 millones de instalaciones, según su listado en Google Play.
TechCrunch verificó los hallazgos del investigador. Al ver solo unas pocas docenas de enlaces, encontramos el número de teléfono de una persona, una captura de pantalla de una transferencia bancaria, una confirmación de pedido que incluye la dirección de la casa de alguien, un registro de arresto y fotos mucho más explícitas de lo que esperábamos, para ser sincero.
Karl Sigler, gerente senior de investigación de seguridad de Trustwave, dijo que si bien no era posible apuntar a ningún usuario específico, cualquier archivo enviado usando la aplicación es vulnerable al acceso público. “Un atacante puede crear secuencias de comandos que podrían lanzar una amplia red a través de todos los archivos multimedia almacenados en la instancia de la nube”, dijo.
Tuvimos tanta suerte al obtener una respuesta del creador de la aplicación como de los investigadores. TechCrunch envió un correo electrónico a dos direcciones de correo electrónico asociadas con la aplicación. Un correo electrónico se recuperó inmediatamente diciendo que el correo electrónico no se pudo entregar debido a que la bandeja de entrada estaba llena. El otro correo electrónico se abrió, según nuestro rastreador de correos electrónicos abiertos, pero no se abrió un correo electrónico de seguimiento.
Dado que ahora es posible que desee una aplicación de mensajería que proteja su privacidad, lo tenemos cubierto.
Source link