Parche incompleto de GO SMS Pro dejó datos de millones de usuarios expuestos en línea

Una semana después de que investigadores de seguridad cibernética revelaran una falla en la popular aplicación de mensajería, GO SMS Pro, los desarrolladores han estado tomando medidas silenciosas para solucionar el problema.

El error de seguridad hizo posible que un atacante creara un guion trivial para acceder a los archivos multimedia transferidos entre usuarios, incluidos mensajes de voz privados, fotos y videos, almacenados en un servidor de acceso público y no autenticado.

Aunque el comportamiento se observó en la versión 7.91 de GO SMS Pro para Android, los creadores de la aplicación lanzaron tres actualizaciones posteriores, dos de las cuales (v7.93 y v7.94), se enviaron a Google Play Store luego de la divulgación pública de la falla y la eliminación de la aplicación de la tienda.

Google restableció la aplicación en Play Store el 23 de noviembre de 2020.

Ahora, después de un análisis de las versiones actualizadas, los investigadores de Trustwave dijeron que «GOMO está intentando solucionar el problema, pero aún no hay una solución completa disponible en la aplicación».

La v.7.93 de la aplicación hizo que los desarrolladores desactiven por completo la capacidad de enviar archivos multimedia, mientras que la siguiente actualización (v7.94), recuperó la funcionalidad, pero de forma incompleta.

«En v7.94, no están bloqueando la capacidad de cargar medios en la aplicación, pero los medios no parecen ir a ninguna parte. El destinatario no recibe ningún texto real con o sin medios adjuntos. Por lo que parece que están en el proceso de intentar solucionar el problema de raíz», dijeron los investigadores.

Además, Trustwave confirmó que los medios más antiguos compartidos antes del aviso, aún son accesibles, incluido un caché de información confidencial como licencias de conducir, números de cuenta de seguro médico, documentos legales y fotos de naturaleza más privada.

Es preocupante que no solo se hayan lanzado herramientas y exploits que aprovechan esta vulnerabilidad en Pastebin y Github. Los fotos clandestinos parecen compartir imágenes descargadas directamente de los servidores de GO SMS.

Debido a la falta de comunicación por parte de los desarrolladores de la aplicación y el hecho de que los datos antiguos se filtran activamente, se recomienda abstenerse de utilizar la aplicación hasta que los problemas se hayan solucionado completamente.

«También creemos que sería buena idea que Google retirara esta aplicación», dijeron los investigadores.

Grupo de WhatsApp: https://chat.whatsapp.com/Ch45FZaJcbxDb7WeHAOtAQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *