O aplicativo Go SMS Pro, que é basicamente uma versão alternativa com mais recursos que o app padrão de mensagens do Android, vem apresentando falha grave de segurança. Segundo levantamento da empresa de cibersegurança Trustwave Spiderlabs, hackers têm se aproveitado de um problema que lhes permite baixar e vazar conteúdo privado de mais de 100 milhões de usuários, como fotos, vídeos e mensagens de voz.
O problema foi originalmente exposto no início de novembro, porém, os desenvolvedores do Go SMS Pro, mesmo já tendo disponibilizado duas atualizações do aplicativo na Play Store, ainda não conseguiram resolver o problema. Segundo a Trustwave, fóruns online utilizados por hackers ainda estão divulgando materiais particulares de usuários cujo app permitiu invasão.
O problema reside na falta de autenticação: com o Go SMS Pro, um usuário pode enviar um arquivo de mídia a outro, mesmo que o recipiente não tenha o app instalado. Neste caso, um link é enviado à pessoa para que ela clique e assista a mídia por meio de uma interface web. Entretanto, essa interface não conta com nenhum pedido de autenticação – qualquer pessoa que tenha a URL em mãos pode visualizar o material.
“Com uma execução de script simples, é fácil jogar uma rede bem ampla para capturar esse conteúdo”, disse a Trustwave em comunicado. “Ainda que não seja possível relacionar a mídia com um usuário específico, arquivos com rostos, nomes ou outras características de identificação podem fazer isso por você”.
Para sanar o problema, os desenvolvedores publicaram uma nova versão do app (v7.93) na Play Store em 19 de novembro (um dia antes do relato original da Trustwave), seguida de outra versão (v7.94) em 23 do mesmo mês. Em um post em seu blog oficial, porém, a Trustwave confirmou que a falha ainda está ativa:
“Nós podemos confirmar que as mídias antigas usadas para verificar a vulnerabilidade original ainda estão disponíveis”, disse a empresa. “Isso inclui um conteúdo preocupante de dados sensíveis, como carteiras de habilitação, números de associação a planos de saúde, documentos de cunho legal e, claro, fotos de natureza mais ‘romântica’”.
Quanto às novas versões, a Trustwave reconhece que há mudanças feitas no código do Go SMS Pro, porém elas ainda não resolvem o problema principal, o que faz a empresa concluir que usuários, mesmo com as versões atualizadas, ainda estão sob risco.
Ainda segundo a Trustwave, alguns hackers estão disponibilizando materiais capturados em arquivos no pastebin ou GitHub, enquanto outros parecem estar obtendo mídias sensíveis diretamente dos servidores do Go SMS Pro.
A empresa disse ter entrado em contato com a equipe de desenvolvedores do aplicativo, mas até agora, não houve resposta.
Fonte: Trustwave