Aplicación de Android GO SMS Pro expone fotos, videos y mensajes privados

Una debilidad de seguridad descubierta en la aplicación de Android GO SMS Pro puede aprovecharse para exponer públicamente los medios enviados mediante la aplicación, según los investigadores.

La aplicación GO SMS Pro es una popular aplicación de mensajería con más de 100 millones de descargas desde la tienda Google Play. Los investigadores de Trustwave SpiderLabs anunciaron que los mensajes de voz privados, los mensajes de video y las fotos corren el riesgo de verse comprometidos por una falla trivialmente explotable en la versión 7.91.

Cuando un usuario envía un mensaje multimedia, el destinatario puede recibirlo incluso si él mismo no tiene instalado GO SMS Pro. En ese caso, el archivo multimedia se envía al destinatario como una URL a través de SMS, por lo que la persona puede hacer clic en el enlace para ver el archivo multimedia en una ventana del navegador.

«Esto significa que cualquier medio sensible compartido entre los usuarios de esta aplicación de mensajería corre el riesgo de verse comprometido por un atacante no autenticado o un usuario curioso», dijo el consultor de seguridad senior de Trustwave, Richard Tan.

Según Trustwave SpiderLabs, la deficiencia se detectó en la versión 7.91 de la aplicación, que se lanzó en Google Play Store el 18 de febrero de 2020.

La firma de ciberseguridad dijo que intentó contactar a los fabricantes de la aplicación varias veces desde el 18 de agosto de 2020, sin recibir una respuesta.

Pero al revisar el registro de cambios de la aplicación, GO SMS Pro recibió una actualización (v7.92) el 29 de septiembre, seguida de otra actualización posterior, que se publicó ayer. Sin embargo, las últimas actualizaciones de la aplicación aún no abordan la debilidad mencionada anteriormente.

«Si el destinatario tiene la aplicación GO SMS Pro en su dispositivo, los medios se mostrarán automáticamente dentro de la aplicación», dijo Tan. «Sin embargo, si el destinatario no tiene instalada la aplicación GO SMS Pro, el archivo multimedia se envía al destinatario como una URL a través de SMS. El usuario puede hacer clic en el enlace y ver el archivo multimedia a través de un navegador».

Este enlace (por ejemplo, «https://gs.3g.cn/D/dd1efd/w») no solo es accesible para cualquier persona sin autenticación previa, sino que la URL se genera independientemente de si el destinatario tiene la aplicación instalada, lo que permite un actor para acceder a los archivos multimedia enviados a través de la aplicación.

Específicamente, al incrementar los valores hexadecimales secuenciales en la URL (por ejemplo, «https://gs.3g.cn/D/e3a6b4/w»), la falla hace posible ver o escuchar otros mensajes multimedia compartidos entre otros usuarios. . Un atacante puede aprovechar esta técnica para generar una lista de URL y robar datos del usuario sin su conocimiento.

Es probable que la falla también afecte a la versión iOS de GO SMS Pro, pero hasta que haya una solución, se recomienda encarecidamente evitar el envío de archivos multimedia utilizando la aplicación de mensajería afectada.