A Aplicação GO SMS Pro, que se encontra instalada em mais de 100 milhões de dispositivos, foi recentemente o alvo da descoberta de uma grave falha de segurança, que permite a qualquer pessoa aceder a conteúdos partilhados de forma privada pela aplicação.
Esta app de mensagens permite que os utilizadores enviem ficheiros como fotos, vídeos e sons para outros utilizadores da app. No entanto, quando o envio é feito para utilizadores que não possuem a aplicação instalada, os conteúdos ficam armazenados nos servidores da empresa responsável pelo serviço, e o conteúdo final é enviado no formato de um link.
O problema encontra-se no facto que estes links são gerados a usar um padrão, e como tal é bastante simples de recolher conteúdos dos servidores da empresa – conhecendo o padrão original sobre como os links são gerados.
Os investigadores da TrustWave revelaram esta falha faz algumas semanas, mas desde então parece que os responsáveis pela aplicação continuam a ignorar o problema. Inicialmente a entidade não respondeu aos investigadores quando foi notificada sobre a falha.
No entanto, recentemente foi disponibilizada uma nova atualização para a app, que se esperava corrigir o problema… mas não é isso que acontece. A atualização foi disponibilizada faz apenas alguns dias depois de o relato inicial da falha ter sido tornado público, sendo que a funcionalidade de partilha de conteúdos foi desativada.
Porém, os conteúdos que foram enviados anteriormente pela aplicação continuam a não estar protegidos, e podem ser acedidos por qualquer utilizador com um simples script. Desde que a falha foi revelada publicamente, pela internet começaram também a surgir scripts que permitem a qualquer um recolher links e conteúdos da plataforma num formato bastante simples.
O mais grave desta situação encontra-se no facto que, mesmo que a aplicação seja inteiramente removida da Play Store, os conteúdos partilhados ainda estão expostos para o público, uma vez que se encontram em servidores totalmente independentes da Google. Portanto, apenas o programador responsável pela app pode corrigir o problema, algo que parece não estar a ser feito – e as questões colocadas ao mesmo são basicamente ignoradas.
Se é um dos utilizadores que possui a aplicação Go Pro SMS, o recomendado será que remova imediatamente a aplicação do seu dispositivo, para evitar que possam ser enviados conteúdos que ficarão disponíveis para qualquer pessoa ver.
Nenhum comentário
Seja o primeiro!