O Go SMS Pro, um dos mais populares aplicativos de SMS para Android, foi pego expondo fotos, vídeos e arquivos enviados pelos seus usuários. Totalizando mais de 100 milhões de downloads, conversas pessoais de milhares de usuários estão vulneráveis a atacantes, segundo pesquisadores do grupo TrustWave.
Mensagens SMS comuns não permitem o envio de mídia, troca de arquivos, vídeos ou acima de 140 caracteres. Contudo, o Go SMS Pro oferece esses recursos como uma “vantagem exclusiva”, através de um método controverso: ao enviar algum conteúdo muito grande, ele é enviado para os servidores do app, que encaminham um link de acesso para o destinatário.
Esse meio de compartilhar arquivos, no entanto, expõe todos os usuários ao acesso de curiosos. Quando sem o app, o destinatário recebe um link de acesso para acessar pelo navegador do celular; e essa versatilidade deixa o conteúdo exposto para qualquer um que tiver o link, já que não conta com nenhum tipo de autenticação.
Além disso, o identificador do arquivo dentro do URL para acesso ao conteúdo é um número hexadecimal sequencial. Identificá-los é um processo simples que pode ser levado para sistemas automatizados, gerando scripts para acessos de arquivos alheios. Considerando que mensagens podem ser utilizadas para compartilhamento de documentos pessoais, essa vulnerabilidade se torna ainda mais grave.
Ademais, nenhuma das mensagens trocadas pelos usuários é protegido por algum tipo de criptografia. Então, se interceptadas por um atacante, todo seu conteúdo estará visível, incluindo os links para acesso de mídia nos servidores da companhia.
Sem sinal de resolução
O grupo TrustWave conta que a falha foi descoberta no dia 18 de agosto na versão 7.91 do Go SMS Pro e que tentou contato com os desenvolvedores do app, a “Best Free Video Editor & Video Maker Dev Communication” quatro vezes. Em nenhum momento, a companhia respondeu às solicitações de reparo e, por isso, a falha foi divulgada para o público.
Internacionalmente, sites como The Verge e TechCrunch também tentaram contato antes de publicarem suas notícias. Contudo, foram respondidos automaticamente com um aviso de “caixa postal lotada”. O site da companhia responsável pelo Go SMS Pro está fora do ar, exibindo apenas uma mensagem de erro do servidor web, em claros sinais de abandono.
Sendo assim, não há previsão para correção do problema. A recomendação é: se você for usuário do app, tente excluir seus dados do aplicativo e pare imediatamente de utilizá-lo para trocar mensagens.
Source link