Parche incompleto de GO SMS Pro dejó datos de millones de usuarios expuestos en línea
GO SMS Pro emitió un parche incompleto para corregir una vulnerabilidad en la aplicación que sigue dejando los datos de millones de usuarios expuestos en Internet
GO SMS Pro emitió un parche incompleto para corregir una vulnerabilidad en la aplicación que sigue dejando los datos de millones de usuarios expuestos en Internet
Una semana después de que investigadores de seguridad cibernética revelaran una falla en la popular aplicación de mensajería, GO SMS Pro, los desarrolladores han estado tomando medidas silenciosas para solucionar el problema.
El error de seguridad hizo posible que un atacante creara un guion trivial para acceder a los archivos multimedia transferidos entre usuarios, incluidos mensajes de voz privados, fotos y videos, almacenados en un servidor de acceso público y no autenticado.
Aunque el comportamiento se observó en la versión 7.91 de GO SMS Pro para Android, los creadores de la aplicación lanzaron tres actualizaciones posteriores, dos de las cuales (v7.93 y v7.94), se enviaron a Google Play Store luego de la divulgación pública de la falla y la eliminación de la aplicación de la tienda.
Google restableció la aplicación en Play Store el 23 de noviembre de 2020.
Ahora, después de un análisis de las versiones actualizadas, los investigadores de Trustwave dijeron que «GOMO está intentando solucionar el problema, pero aún no hay una solución completa disponible en la aplicación».
La v.7.93 de la aplicación hizo que los desarrolladores desactiven por completo la capacidad de enviar archivos multimedia, mientras que la siguiente actualización (v7.94), recuperó la funcionalidad, pero de forma incompleta.
«En v7.94, no están bloqueando la capacidad de cargar medios en la aplicación, pero los medios no parecen ir a ninguna parte. El destinatario no recibe ningún texto real con o sin medios adjuntos. Por lo que parece que están en el proceso de intentar solucionar el problema de raíz», dijeron los investigadores.
Además, Trustwave confirmó que los medios más antiguos compartidos antes del aviso, aún son accesibles, incluido un caché de información confidencial como licencias de conducir, números de cuenta de seguro médico, documentos legales y fotos de naturaleza más privada.
Es preocupante que no solo se hayan lanzado herramientas y exploits que aprovechan esta vulnerabilidad en Pastebin y Github. Los fotos clandestinos parecen compartir imágenes descargadas directamente de los servidores de GO SMS.
Debido a la falta de comunicación por parte de los desarrolladores de la aplicación y el hecho de que los datos antiguos se filtran activamente, se recomienda abstenerse de utilizar la aplicación hasta que los problemas se hayan solucionado completamente.
«También creemos que sería buena idea que Google retirara esta aplicación», dijeron los investigadores.
