Esta excelente ferramenta de SMS ainda está expondo informações do usuário online
O popular aplicativo de mensagens SMS para Android GO SMS Pro ainda está expondo as fotos, vídeos e arquivos compartilhados de forma privada por milhões de usuários, apesar do fato de os pesquisadores da Trustwave terem revelado recentemente que o aplicativo tem uma grande falha de segurança.
A empresa de segurança cibernética descobriu em agosto que os arquivos de mídia enviados via GO SMS Pro são armazenados de forma insegura em um servidor de acesso público que pode ser acessado usando alguns scripts muito pequenos. Embora não seja possível vincular os arquivos de mídia a usuários específicos, os arquivos que incluem rostos, nomes ou outras características de identificação colocam a privacidade dos usuários online em risco.
Uma nova versão do GO SMS Pro foi carregada na Play Store um dia antes da Trustwave divulgar publicamente que o aplicativo tinha uma falha de segurança séria. O Google então removeu o aplicativo de sua loja, mas no momento da escrita, a versão 7.94 do aplicativo está disponível para download.
De acordo com a Trustwave, parece que o desenvolvedor do aplicativo GOMO está tentando corrigir o problema, mas uma correção completa ainda não está disponível. Na versão 7.93 do GO SMS Pro, a capacidade de enviar arquivos de mídia foi completamente desativada, enquanto a versão 7.94 permite que os usuários carreguem mídia para o aplicativo, mas esses arquivos não parecem ir a qualquer lugar quando enviados para outro usuário.
Ainda vulnerável
Apesar das tentativas da GOMO de corrigir seu aplicativo, a Trustwave confirmou que a mídia mais antiga usada para verificar a vulnerabilidade original ainda está disponível online. Os arquivos de mídia expostos contêm muitos dados confidenciais, incluindo carteiras de motorista, números de contas de seguros de saúde, documentos legais e fotos de natureza mais ‘romântica’.
Os cibercriminosos estão bem cientes da falha do GO SMS Pro e a Trustwave descobriu várias ferramentas e scripts projetados para explorar a vulnerabilidade em sites como Pastebin e GitHub. Várias dessas ferramentas mais populares são atualizadas diariamente e a empresa também observou fóruns clandestinos que compartilham imagens baixadas diretamente dos servidores do aplicativo.
Infelizmente, a GOMO tem sido menos do que cooperativa quando se trata de trabalhar com a Trustwave para corrigir a vulnerabilidade.
O desenvolvedor fez algumas alterações no GO SMS Pro, mas por enquanto, Trustwave recomenda que os usuários “evitem enviar arquivos de mídia que você espera que permaneçam privados ou que possam conter dados confidenciais usando este popular aplicativo de mensagens”.