Aplicación de mensajería expone millones de archivos privados de usuarios

Tecnología LR

ediciondigital@glr.pe larepublica_pe

19 Nov 2020 | 19:20 h
Al enviar archivos multimedia por la aplicación se crea un URL de acceso público en internet. Foto: Android Authority
Al enviar archivos multimedia por la aplicación se crea un URL de acceso público en internet. Foto: Android Authority

Una vulnerabilidad de seguridad permitiría a cualquier persona acceder a mensajes de texto, voz, fotos y videos confidenciales enviados a través de GO SMS Pro.

GO SMS Pro, una popular aplicación de mensajería para Android que actualmente reúne más de 100 millones de descargas en Google Play Store, ha expuesto públicamente el contenido confidencial enviado entre los usuarios del servicio.

The GO SMS Pro application is potentially vulnerable, according to this latest Trustwave SpiderLabs research, which finds that media shared between users of this messenger app is at risk of being compromised by an unauthenticated attacker. #cybersecurity https://t.co/jR6tD02Pt8

— Trustwave (@Trustwave) November 19, 2020

En agosto, los investigadores de seguridad de Trustwave descubrieron una grave vulnerabilidad en la plataforma que, potencialmente, permite a cualquier atacante o usuario curioso acceder a los mensajes de texto, voz, video y fotos intercambiados a través de la app.

A penas se supo el problema, el equipo dio aviso al desarrollador de la aplicación y le otorgó un plazo de 90 días para solucionarlo. No obstante, desde esa fecha, no han logrado obtener ningún tipo de respuesta por parte de la empresa, pese a que intentaron comunicarse hasta en cuatro oportunidades.

¿En qué consiste la falla de seguridad de GO SMS Pro?

Cuando un usuario de GO SMS Pro envía un mensaje multimedia (fotografías, videos o archivos), el destinatario puede recibirlo sin tener instalada la aplicación. Esto es posible porque la plataforma sube el contenido a sus servidores, genera un enlace y luego la envía por SMS.

¿Cuál es el problema con este proceso? El link creado. Para poder visualizarlo, no se requiere ningún tipo de autenticación ni autorización, lo que significa que cualquier persona que tenga el URL en su poder puede ver el contenido del mensaje.

Asimismo, los investigadores encontraron que el enlace “era secuencial y predecible”. Por lo tanto, un ciberdelincuente podría tener acceso a cualquier archivo multimedia con solo cambiar las partes correctas del enlace generado.

Si el destinatario también posee GO SMS Pro, el contenido le aparece directamente como mensaje. No obstante, la aplicación de todas maneras carga el archivo a sus servidores, lo que aumenta en gran medida el número de personas que pueden verse afectadas por la vulnerabilidad.

Desde TechCrunch verificaron los hallazgos de Trustwave y, tras ver unos cuantos links, encontraron “el número de teléfono de una persona, una captura de pantalla de una transferencia bancaria, una confirmación de pedido que incluye dirección de la casa, un registro de arresto y fotografías”.

Los investigadores advirtieron que la falla aún no se ha solucionado y representa un riesgo para los usuarios. “Un atacante puede crear secuencias de comandos que podrían lanzar una amplia red a través de todos los archivos multimedia almacenados en la instancia de la nube”, señaló Karl Sigler, gerente senior de investigación de seguridad de Trustwave.

Video Recomendado

Lazy loaded component