Especialistas en seguridad han detectado que GO SMS Pro, una aplicación de mensajería para dispositivos Android con más de 100 millones de instalaciones, está filtrando archivos multimedia privados que han sido compartidos entre sus usuarios. Explotando una falla en la aplicación, los actores de amenazas podrían acceder a mensajes de voz, videos y fotos privadas, menciona el reporte elaborado por investigadores de Trustwave.
Además, los expertos descubrieron que es posible acceder a los archivos enviados a usuarios que no cuentan con la aplicación instalada en sus dispositivos mediante los servidores de la aplicación y usando una URL de redirección a un servidor de Red de Entrega de Contenido (CDN) en el que GO SMS Pro almacena los archivos compartidos.
Estas URL se generan secuencialmente cada vez que se comparte un archivo entre usuarios, terminando almacenados en la CDN. Esto hace que sea muy fácil para cualquier usuario revisar todos los archivos privados compartidos por los usuarios del servicio, incluso sin conocer ninguna de las URL compartidas.
Múltiples miembros de la comunidad de la ciberseguridad han confirmado los hallazgos de Trustwave, analizando decenas de enlaces expuestos que redirigen a imágenes de autos, fotografías de documentos confidenciales, capturas de pantalla y toda clase de imágenes y videos íntimos. Por si fuera poco, es relativamente fácil explotar esta falla, pues sólo se requiere un script simple que genere de forma rápida una lista de direcciones a vincular con la aplicación vulnerable.
Han pasado 90 días desde que los investigadores reportaron esta falla sin obtener respuesta, por lo que ha comenzado el proceso de divulgación pública de la vulnerabilidad. Aunque otras firmas de seguridad llevan meses tratando de contactar a los desarrolladores de GO SMS Pro, nadie en la empresa ha respondido.
Para empeorar las cosas, muchos de los correos electrónicos enviados a la compañía han rebotado, ya sea porque el buzón del desarrollador está lleno o porque están recibiendo demasiados mensajes. El sitio web del desarrollador tampoco está disponible en este momento, y los clientes que desean visitarlo ven un mensaje de instalación exitosa del servidor web Tengine en lugar del contenido del sitio.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.