Un reemplazo popular de Google Messages expuso datos privados de usuarios

Go SMS Pro, una popular aplicación de SMS de terceros con más de 100 millones de instalaciones provenientes de su tarjeta Google Play, acaba de encontrar una falla crítica.

Los investigadores de seguridad de TrustWave descubrieron que la aplicación exponía los datos del usuario de forma descuidada al cargar archivos compartidos en la aplicación a una URL pública. Después de intentar y no comunicarse con los desarrolladores de la aplicación, se comunicaron con personas en TechCrunch con sus descubrimientos.

TechCrunch explicado:

Cuando un usuario de Go SMS Pro envía una foto, video u otro archivo a alguien que no tiene la aplicación instalada, la aplicación carga el archivo en sus servidores y le permite al usuario compartir una dirección web por mensaje de texto. para que el destinatario pueda ver el archivo sin instalar la aplicación. Pero los investigadores encontraron que estas direcciones web eran secuenciales. De hecho, cada vez que se compartía un archivo, incluso entre los usuarios de la aplicación, se generaba una dirección web independientemente. Esto significaba que cualquiera que conociera la dirección web predecible podía pasar de millones de direcciones web diferentes a archivos de usuario.

Los investigadores notaron que si bien no era posible apuntar a ningún usuario individual para Go SMS Pro, alguien podría lanzar una red enorme y obtener una gran cantidad de datos privados. TechCrunch pudieron encontrar “el número de teléfono de una persona, una captura de pantalla de una transferencia bancaria, una confirmación de pedido que incluye la dirección de la casa de alguien, un registro de arresto” y varias fotos comprometedoras. Mientras tanto, los desarrolladores de la aplicación se han ausentado sin permiso, por lo que es poco probable que el problema se solucione pronto.

¡Compre algunas de las mejores ofertas del Black Friday en Internet AHORA!

Algunas de las mejores características de Android son su personalización y modularidad. Puede reemplazar partes del software de su teléfono con versiones de terceros creadas por otros desarrolladores. Requiere mucha confianza por parte de los desarrolladores, especialmente cuando se trata de datos como mensajes SMS, y en ocasiones esta confianza no se ve recompensada.

Aunque la aplicación tiene más de cien millones de descargas, no está claro cuántas de ellas son recientes. La mayoría de los teléfonos Android vendidos en 2020 vienen con Google Messages como su aplicación de mensajería predeterminada, y los usuarios aún prefieren usar aplicaciones encriptadas de extremo a extremo como Telegram y WhatsApp. Si tiene esta aplicación instalada, no hace falta decir que probablemente debería deshacerse de ella.

(function(d, s, id) {
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) return;
js = d.createElement(s); js.id = id;
js.src = “https://connect.facebook.net/en_US/sdk.js#xfbml=1&version=v2.7”;
fjs.parentNode.insertBefore(js, fjs);
}(document, ‘script’, ‘facebook-jssdk’));

var fbAsyncInitOrg = window.fbAsyncInit;
window.fbAsyncInit = function() {
if(typeof(fbAsyncInitOrg)==’function’) fbAsyncInitOrg();
FB.init({
appId: “291830964262722”,
xfbml: true,
version : ‘v2.7’
});

FB.Event.subscribe(‘xfbml.ready’, function(msg) { // Log all the ready events so we can deal with them later
var events = fbroot.data(‘ready-events’);
if( typeof(events) === ‘undefined’) events = [];
events.push(msg);
fbroot.data(‘ready-events’,events);
});

var fbroot = $(‘#fb-root’).trigger(‘facebook:init’);
};

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *