Aplicación de mensajería expone millones de archivos privados de usuarios
Una vulnerabilidad de seguridad permitiría a cualquier persona acceder a mensajes de texto, voz, fotos y videos confidenciales enviados a través de GO SMS Pro.
- ¿Posees un Smart TV de Samsung, LG o Sony? Así puedes ver más de 50 canales gratuitos
- ¿Qué es Rakuten TV y cómo instalarla en tu Smart TV para ver miles de películas y series gratis?
GO SMS Pro, una popular aplicación de mensajería para Android que actualmente reúne más de 100 millones de descargas en Google Play Store, ha expuesto públicamente el contenido confidencial enviado entre los usuarios del servicio.
En agosto, los investigadores de seguridad de Trustwave descubrieron una grave vulnerabilidad en la plataforma que, potencialmente, permite a cualquier atacante o usuario curioso acceder a los mensajes de texto, voz, video y fotos intercambiados a través de la app.
A penas se supo el problema, el equipo dio aviso al desarrollador de la aplicación y le otorgó un plazo de 90 días para solucionarlo. No obstante, desde esa fecha, no han logrado obtener ningún tipo de respuesta por parte de la empresa, pese a que intentaron comunicarse hasta en cuatro oportunidades.
¿En qué consiste la falla de seguridad de GO SMS Pro?
Cuando un usuario de GO SMS Pro envía un mensaje multimedia (fotografías, videos o archivos), el destinatario puede recibirlo sin tener instalada la aplicación. Esto es posible porque la plataforma sube el contenido a sus servidores, genera un enlace y luego la envía por SMS.
¿Cuál es el problema con este proceso? El link creado. Para poder visualizarlo, no se requiere ningún tipo de autenticación ni autorización, lo que significa que cualquier persona que tenga el URL en su poder puede ver el contenido del mensaje.
Asimismo, los investigadores encontraron que el enlace “era secuencial y predecible”. Por lo tanto, un ciberdelincuente podría tener acceso a cualquier archivo multimedia con solo cambiar las partes correctas del enlace generado.
Si el destinatario también posee GO SMS Pro, el contenido le aparece directamente como mensaje. No obstante, la aplicación de todas maneras carga el archivo a sus servidores, lo que aumenta en gran medida el número de personas que pueden verse afectadas por la vulnerabilidad.
Desde TechCrunch verificaron los hallazgos de Trustwave y, tras ver unos cuantos links, encontraron “el número de teléfono de una persona, una captura de pantalla de una transferencia bancaria, una confirmación de pedido que incluye dirección de la casa, un registro de arresto y fotografías”.
Los investigadores advirtieron que la falla aún no se ha solucionado y representa un riesgo para los usuarios. “Un atacante puede crear secuencias de comandos que podrían lanzar una amplia red a través de todos los archivos multimedia almacenados en la instancia de la nube”, señaló Karl Sigler, gerente senior de investigación de seguridad de Trustwave.
Los artículos firmados por La República son redactados por nuestro equipo de periodistas. Estas publicaciones son revisadas por nuestros editores para asegurar que cada contenido cumpla con nuestra línea editorial y sea relevante para nuestras audiencias.
