Home Sociedad Aplicación de chat de Android con 100 millones de instalaciones, expuso mensajes...

Aplicación de chat de Android con 100 millones de instalaciones, expuso mensajes privados

GO SMS Pro, una aplicación de mensajería instantánea para Android con más de 100 millones de instalaciones, está exponiendo públicamente archivos multimedia privados compartidos entre sus usuarios.

Al abusar de una falla en la aplicación, los atacantes no autenticados pueden acceder a mensajes de voz privados, videos y fotos compartidos por los usuarios de GO SMS Pro, como descubrieron los investigadores de seguridad de Trustwave, hace tres meses.

Los archivos multimedia privados enviados por los usuarios a los contactos que no tienen la aplicación instalada en sus dispositivos pueden ser accedidos desde los servidores de la aplicación mediante una URL abreviada que redirige a un servidor de red de entrega de contenidos (CDN) que GO SMS Pro utiliza para almacenar todos los archivos compartidos.

Estas URL abreviadas se generan de forma secuencial (mediante un contador hexadecimal) cada vez que se comparte un archivo entre los usuarios y el contenido multimedia se almacena en el servidor de la CDN.

Esto hace que sea muy fácil para cualquiera revisar todos los archivos privados compartidos por los usuarios de la aplicación, incluso sin conocer ninguna de las URLs compartidas.

Los investigadores de Trustwave dijeron que es trivial crear un simple guión que genere rápidamente una lista de direcciones que enlazan con fotos y videos compartidos usando esta vulnerable aplicación.

“Al tomar las direcciones URL generadas y pegarlas en la extensión multipestaña de Chrome o Firefox, es trivial acceder a los archivos multimedia privados (y potencialmente sensibles) enviados por los usuarios de esta aplicación”, explicaron.

Trustwave reveló la vulnerabilidad 90 días después de contactar con el desarrollador de la aplicación el 18 de agosto y después de no recibir respuesta a otros tres correos electrónicos enviados en septiembre, octubre y a principios de esta semana, en noviembre.

Con información de: Bleeping Computer.