La popular aplicacion Go SMS Pro filtra detalles de millones
Una de las aplicaciones de mensajería SMS más populares de Android tiene una falla de seguridad grave que el desarrollador de la aplicación no parece querer corregir. Las fotos, videos y cualquier otro tipo de archivo enviado a través de Go SMS Pro, que tiene más de 100 millones de instalaciones, corre el riesgo de ser interceptado por un actor amenazante.

En agosto, los investigadores de seguridad de Trustwave descubrieron que cuando un usuario de Go SMS Pro enviaba archivos a otra persona que no era propietaria de la aplicación, el archivo se enviaba a los servidores de la aplicación y se creó una dirección web. Luego, esta dirección se envió por SMS al destinatario para que pudieran ver el archivo en línea sin instalar la aplicación.

Sin embargo, Trustwave descubrió que las direcciones web creadas eran secuenciales, lo que las hacía extremadamente predecibles. Además, las direcciones web se creaban cada vez que se compartía un archivo, incluso entre dos personas con la aplicación Go SMS Pro.

Se acabó el tiempo

Como es práctica común con las divulgaciones de vulnerabilidades, Trustwave notificó a Go SMS Pro del error y les dio 90 días para publicar una solución. Sin embargo, esa fecha límite ha pasado, dejando a los investigadores de seguridad con pocas opciones más que hacer pública la vulnerabilidad.

«Trustwave ha intentado ponerse en contacto con el proveedor en varias ocasiones desde el 18 de agosto de 2020, pero no ha recibido respuesta», dijo un investigador de seguridad de Trustwave. “Como tal, esta vulnerabilidad aún está presente y representa un riesgo para los usuarios. Se recomienda encarecidamente evitar enviar archivos multimedia que crea que se mantienen privados o que pueden contener datos confidenciales mediante esta popular aplicación de correo electrónico, al menos hasta que el proveedor reconozca esta vulnerabilidad y la solucione. remedios. »

Aunque esta vulnerabilidad en particular no permite apuntar a un usuario en particular, aún es posible adquirir información muy sensible con relativa facilidad. Además, un actor de amenazas podría potencialmente crear un script simple que le permitiría adquirir una gran cantidad de archivos multimedia en poco tiempo.

Vía TechCrunch

Share This