Parche incompleto: ‘Go SMS Pro’ deja millones de datos de usuarios aún expuestos en línea

Una semana después de que investigadores de ciberseguridad revelaran una falla en la popular aplicación de mensajería GO SMS Pro, parece que los desarrolladores de la aplicación están tomando pasos silenciosos para solucionar el problema entre bastidores. El error de seguridad hizo posible que un atacante creara un guión trivial para acceder a los archivos multimedia transferidos […]

Una semana después de que investigadores de ciberseguridad revelaran una falla en la popular aplicación de mensajería GO SMS Pro, parece que los desarrolladores de la aplicación están tomando pasos silenciosos para solucionar el problema entre bastidores.

El error de seguridad hizo posible que un atacante creara un guión trivial para acceder a los archivos multimedia transferidos entre usuarios, incluidos mensajes de voz privados, fotos y videos, almacenados en un servidor de acceso público y no autenticado.

Aunque el comportamiento se observó en la versión 7.91 de GO SMS Pro para Android, los creadores de la aplicación lanzaron tres actualizaciones posteriores, dos de las cuales (v7.93 y v7.94) se enviaron a Google Play Store después de la divulgación pública de la falla. y la eliminación de Google de la aplicación del mercado.

Google restableció la aplicación en Play Store el 23 de noviembre.

Ahora, tras un análisis de las versiones actualizadas, los investigadores de Trustwave dijeron : “GOMO está intentando solucionar el problema, pero aún no hay una solución completa disponible en la aplicación”.

La v7.93 de la aplicación vio a los desarrolladores desactivar por completo la capacidad de enviar archivos multimedia, mientras que la próxima actualización (v7.94) ha recuperado la funcionalidad, aunque en forma rota.

“En v7.94, no están bloqueando la capacidad de cargar medios en la aplicación, pero los medios no parecen ir a ninguna parte”, dijeron los investigadores. “El destinatario no recibe ningún texto real con o sin medios adjuntos. Por lo que parece que están en el proceso de intentar solucionar el problema de raíz”.

Además, Trustwave confirmó que los medios más antiguos compartidos antes del aviso aún son accesibles, incluido un caché de información confidencial como licencias de conducir, números de cuenta de seguro médico, documentos legales y fotos de naturaleza más “romántica”.

Es preocupante que no solo se hayan lanzado herramientas y exploits que aprovechan esta vulnerabilidad en Pastebin y Github; Los foros clandestinos parecen compartir imágenes descargadas directamente de los servidores de GO SMS.

Dada la falta de comunicación por parte de los desarrolladores de la aplicación y el hecho de que los datos antiguos se filtran activamente, se recomienda abstenerse de usar la aplicación hasta que los problemas se hayan solucionado por completo.

“También creemos que sería una buena idea que Google retirara esta aplicación”, dijeron los investigadores.