Un reemplazo popular de Google Messages expuso datos privados de usuarios

Por: Redacción | Viernes 20 de noviembre del 2020

Go SMS Pro, una aplicación de mensajería de Android con más de cien millones de instalaciones en Play Store, tiene una falla de seguridad masiva.

Los investigadores de seguridad de la empresa TrustWave descubrieron que la aplicación exponía los datos del usuario de forma descuidada al cargar archivos compartidos en la aplicación a una URL pública. Después de intentar y no comunicarse con los desarrolladores de la aplicación, se comunicaron con la gente de TechCrunch con sus hallazgos.

TechCrunch explicó:

Cuando un usuario de Go SMS Pro envía una foto, video u otro archivo a alguien que no tiene la aplicación instalada, la aplicación carga el archivo en sus servidores y le permite al usuario compartir una dirección web por mensaje de texto para que el destinatario pueda ver el archivo sin instalar la aplicación. Pero los investigadores encontraron que estas direcciones web eran secuenciales. De hecho, cada vez que se compartía un archivo, incluso entre usuarios de la aplicación, se generaba una dirección web independientemente. Eso significaba que cualquiera que supiera acerca de la dirección web predecible podría haber pasado por millones de direcciones web diferentes a los archivos de los usuarios.

Los investigadores notaron que si bien no era posible apuntar a ningún usuario individual con Go SMS Pro, alguien podría lanzar una red de pesca enorme y extraer una gran cantidad de datos privados. TechCrunch pudo encontrar "el número de teléfono de la persona, una captura de pantalla de una transferencia bancaria, una confirmación de pedido que incluía la dirección de la casa de alguien, un registro de arresto" y varias fotos comprometedoras. Mientras tanto, los desarrolladores de aplicaciones se han ausentado sin permiso, por lo que no es probable que esto se solucione pronto.

La aplicación tiene más de cien millones de descargas, no está claro cuántas de ellas son recientes. La mayoría de los teléfonos Android vendidos en 2020 se envían con Google Messages como su aplicación de mensajería predeterminada, y los usuarios prefieren usar aplicaciones encriptadas de extremo a extremo como Telegram y WhatsApp de todos modos. Si tiene esta aplicación instalada, no hace falta decir que probablemente debería deshacerse de ella.