Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode

Error sin parche en aplicación GO SMS Pro expone millones de mensajes multimedia

Se ha descubierto que GO SMS Pro, una popular aplicación de mensajería para Android con más de 100 millones de instalaciones, tiene una falla de seguridad sin parches que expone públicamente los medios transferidos entre usuarios, incluidos mensajes de voz privados, fotos y videos.

“Esto significa que cualquier medio sensible compartido entre los usuarios de esta aplicación de mensajería corre el riesgo de verse comprometido por un atacante no autenticado o un usuario curioso”, dijo el consultor de seguridad senior de Trustwave, Richard Tan, en un informe compartido con The Hacker News.

Según Trustwave SpiderLabs, la deficiencia se detectó en la versión 7.91 de la aplicación, que se lanzó en Google Play Store el 18 de febrero de 2020.

La firma de ciberseguridad dijo que intentó contactar a los creadores de la aplicación varias veces desde el 18 de agosto de 2020, sin recibir una respuesta.
Pero al revisar el registro de cambios de la aplicación, GO SMS Pro recibió una actualización (v7.92) el 29 de septiembre, seguida de otra actualización posterior, que se publicó ayer. Sin embargo, las últimas actualizaciones de la aplicación aún no abordan la debilidad mencionada anteriormente.

La vulnerabilidad se debe a la forma en que se muestra el contenido multimedia cuando los destinatarios no tienen la aplicación GO SMS Pro instalada en sus dispositivos, lo que genera una posible exposición.

“Si el destinatario tiene la aplicación GO SMS Pro en su dispositivo, los medios se mostrarán automáticamente dentro de la aplicación”, dijo Tan. “Sin embargo, si el destinatario no tiene instalada la aplicación GO SMS Pro, el archivo multimedia se envía al destinatario como una URL a través de SMS. El usuario puede hacer clic en el enlace y ver el archivo multimedia a través de un navegador”.

Este enlace (por ejemplo, “https://gs.3g.cn/D/dd1efd/w“) no solo es accesible para cualquier persona sin autenticación previa, la URL se genera independientemente de si el destinatario tiene la aplicación instalada, lo que permite un actor para acceder a los archivos multimedia enviados a través de la aplicación.

Específicamente, al incrementar los valores hexadecimales secuenciales en la URL (por ejemplo, “https://gs.3g.cn/D/e3a6b4/w“), la falla hace posible ver o escuchar otros mensajes multimedia compartidos entre otros usuarios. . Un atacante puede aprovechar esta técnica para generar una lista de URL y robar datos del usuario sin su conocimiento.

Es probable que la falla también afecte a la versión iOS de GO SMS Pro, pero hasta que haya una solución, se recomienda encarecidamente evitar el envío de archivos multimedia utilizando la aplicación de mensajería afectada.

Vía: The Hacker News.

Comentarios

comentarios

Dragora

Posts Relacionados

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Click to listen highlighted text!