Si tienes esta aplicación, debes borrarla inmediatamente, expone tus datos
La aplicación de mensajería Go SMS Pro expuso fotos y archivos privados de millones de usuarios.
El portal tecnológico TechCrunch, ha informado que la app Go SMS Pro, una de las aplicaciones de mensajería más populares para Android, está exponiendo fotos, vídeos y otros archivos enviados de forma privada por sus usuarios. Peor aún, el creador de aplicaciones no ha hecho nada para solucionar el error.
Los investigadores de seguridad en Trustwave descubrieron este problema en agosto. Se pusieron en contacto con el fabricante de la aplicación con un plazo de 90 días para solucionar el problema, como es la práctica estándar en la divulgación de vulnerabilidades para permitir suficiente tiempo para una solución sin afectar la reputación de la marca. Una vez transcurrió el plazo haciendo oídos sordos a la denuncia, los investigadores decidieron hacer público su hallazgo con el fin de avisar a los usuarios de esta grave vulnerabilidad.
Pueden acceder a los archivos multimedia
Cuando un usuario de Go SMS Pro envía una foto, un vídeo u otro archivo a alguien que no tiene la aplicación instalada, la aplicación carga el archivo en sus servidores y permite al usuario compartir una dirección web a través de un mensaje de texto para que el destinatario pueda ver el archivo sin instalar la aplicación.
Pero los investigadores encontraron que estas direcciones web eran secuenciales. De hecho, cada vez que se compartiera un archivo, incluso entre los usuarios de la aplicación, se generaría una dirección web independientemente. Eso significaba que cualquiera que supiera acerca de la dirección web predecible podría haber pasado por millones de direcciones web diferentes de manera secuencial accediendo así a los archivos de miles de usuarios.
Más de 100 millones posibles usuarios infectados
Go SMS Pro tiene más de 100 millones de instalaciones, según su listado en Google Play. En TechCrunch decidieron poner a prueba los hallazgos del investigador. Al ver sólo unas pocas docenas de enlaces, encontraron el número de teléfono de una persona, una captura de pantalla de una transferencia bancaria, una confirmación de pedido que incluye la dirección de la casa de alguien, un registro de arresto y fotos mucho más explícitas de lo que esperábamos, para ser bastante honesto.
Karl Sigler, gerente sénior de investigación de seguridad de Trustwave, dijo que, si bien no era posible dirigirse a ningún usuario específico, cualquier archivo enviado con la aplicación es vulnerable al acceso público. "Un atacante puede crear scripts que podrían lanzar una red ancha en todos los archivos multimedia almacenados en la instancia de nube", dijo.
Eliminada de la Play Store
Dado todo lo sucedido, y la presencia del caso en medios especializados, la cosa se ha solucionado de forma radical: No con los desarrolladores de Go SMS Pro arreglando su aplicación, sino con Google borrándola directamente de su Play Store. por lo que ya no está disponible. Si por lo que sea la tienes, mejor desinstálala en el acto de tu móvil.
