La aplicación de mensajería Go SMS Pro, que tiene más de 100 millones de instalaciones desde la tienda Google Play , tiene una falla de seguridad masiva que potencialmente permite a las personas acceder al contenido confidencial que ha enviado usando la aplicación. Y a pesar de que el fabricante de la aplicación fue informado sobre el problema hace meses, no han realizado actualizaciones para solucionar lo que está sucediendo.
Para darle una idea de cuánta información filtra la aplicación, esto es lo que TechCrunch pudo encontrar: "Al ver solo unas pocas docenas de enlaces, encontramos el número de teléfono de una persona, una captura de pantalla de una transferencia bancaria, una confirmación de pedido que incluye el dirección de la casa, un registro de arresto y fotos mucho más explícitas de lo que esperábamos, para ser sincero ”, dice el reportero de ciberseguridad Zack Whittaker. No es bueno.
Esto es lo que está sucediendo: Go SMS Pro carga todos los archivos multimedia que envía a Internet y hace que esos archivos sean accesibles con una URL, según un informe de Trustwave . Cuando envía un mensaje con medios a través de Go SMS Pro, como una foto o un video, la aplicación carga el contenido en sus servidores, crea una URL que apunta a él y envía esa URL al destinatario. Si el destinatario también tiene Go SMS Pro, el contenido aparece directamente en el mensaje, pero la aplicación aún carga el archivo y aún crea ese enlace de acceso público en Internet.
Esa URL es donde está el problema. No se requiere autenticación para ver el enlace, lo que significa que cualquiera que lo tenga podría ver el contenido. Y las URL generadas por la aplicación aparentemente tienen una dirección secuencial y predecible, lo que significa que cualquiera puede ver otros archivos simplemente cambiando las partes correctas de la URL. En teoría, incluso podría escribir un script para generar automáticamente URL secuenciales para que pueda encontrar y navegar rápidamente a través de una gran cantidad de contenido privado compartido por personas que usan Go SMS Pro.
Peor aún, el desarrollador de la aplicación no ha respondido, por lo que no está claro si esta vulnerabilidad se solucionará alguna vez. Trustwave dijo que se ha puesto en contacto con el desarrollador cuatro veces desde el 18 de agosto de 2020 para notificarles sobre la vulnerabilidad, sin respuesta. TechCrunch intentó enviar un correo electrónico a dos direcciones de correo electrónico conectadas a la aplicación. Un correo electrónico a una dirección se recuperó con un mensaje de que la bandeja de entrada estaba llena. Se abrió otro correo electrónico, pero no se respondió, y no se abrió un correo electrónico de seguimiento. The Verge intentó comunicarse con el desarrollador para solicitar comentarios a través de un correo electrónico que figura en la lista de Play Store, pero el correo electrónico se recuperó con un mensaje de "bandeja de entrada del destinatario llena". Y el sitio web del desarrollador que figura en la lista de Play Store parece estar roto .
Entonces, si está utilizando Go SMS Pro ahora y desea evitar que las cosas que comparte se filtren en Internet, es posible que desee encontrar una aplicación de mensajería diferente.