Go SMS PRO, una falla di sicurezza dà accesso a messaggi e foto degli utenti

20 Novembre 2020 10

Al giorno d'oggi non è difficile sentire parlare di esposizione di dati sensibili degli utenti (ved. Instagram accusata in Europa per aver esposto i dati di milioni di minori) o più in generale di attacchi hacker, come quello di cui sono stati vittima alcuni centri di ricerca dove si studia il vaccino per il COVID-19.

Ciò che è saltato fuori nelle scorse ore, tuttavia, non riguarda nessuno dei due casi citati, ma ha come protagonista GO SMS Pro, una delle app di terze parti per la gestione degli SMS più famose e "anziane" del panorama Android con all'attivo oltre 100 milioni di download sul Google Play. Insomma, non numeri di poco conto.

Secondo quanto analizzato dai ricercatori di sicurezza di SpiderLabs, l'app di messaggistica è stata accusata di esporre pubblicamente i contenuti miltimediali trasferiti tra gli utenti dell'app. Più nello specifico, ad essere esposti sono: messaggi vocali privati, video e fotografie.

COSA È SUCCESSO

La falla di sicurezza è stata scoperta su GO SMS Pro v7.91, una versione rilasciata addirittura lo scorso febbraio. La fonte afferma di non sapere se ci siano anche altre versioni interessate, ma specifica:

riteniamo che ciò possa influire anche le versioni precedenti alla 7.91 e potenzialmente quelle future.

Come su altre app di messaggistica, anche su GO SMS Pro è possibile scambiare file multimediali di varia tipologia. Nel caso in cui sia il mittente del messaggio, sia il destinatario abbiano installato GO SMS Pro sul proprio dispositivo, i contenuti verranno visualizzati all'interno dell'app.

Tuttavia, se il destinatario non ha l'app GO SMS Pro installata, il file multimediale verrà inviato sotto forma di URL tramite SMS. Ed è qui che nasce il problema. SpiderLabs ha scoperto infatti che l'accesso al collegamento può avvenire senza alcuna autenticazione o autorizzazione. In poche parole, vi basterà entrare in possesso di quel determinato URL per accedere a fotografie, video o messaggi scambiati dagli utenti violando qualsiasi riservatezza.

Ecco un esempio dell'SMS:

"Ti ho inviato un clip audio: http://gs.3g.cn/D/dd1efd/w "

Ma c'è di più: i ricercatori hanno notato che il collegamento URL è di tipo sequenziale (esadecimale) e quindi ancora più prevedibile. Basterà infatti eseguire un semplice script bash per generare un elenco di collegamenti ed accedere così ai file multimediali privati inviati tramite l'applicazione.

Trustwave ha confermato di aver contattato più volte la software house senza alcun successo già a partire dallo scorso 18 agosto 2020. La vulnerabilità di sicurezza è ancora presente sull'applicazione, pertanto vi consigliamo dunque di disinstallarla e non utilizzarla fino a che non vorrà posto rimedio.


10

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Crash Nebula

Ma esiste ancora quest’app?

Hoyz

Nel 2012, su Xperia U e con android 2.3.7 gingerbread, utilizzavo Go Launcher, aveva delle animazioni fluidissime e molto belle. Inutile dire che da ICS in poi è stato soppiantato da Nova in pianta stabile, che uso ancora oggi.

MarcoF

C'è gente che usa ancora le app GO? Siamo nel 2010?

csharpino

Più che una falla sembra un fallo... Gigante.. posizionato dove normalmente ti siedi...

Vincenzo

Pazzesco, è ancora possibile accedere ai media modificando il codice esadecimale... Io comunque credo che l'app sia stata abbandonata e quindi più nessuno presìdi la e-mail dove arrivano le segnalazioni.

loripod

indispensabile a suo tempo, oggi come oggi strano che sia ancora disponibile

MarioT

Mi pare più una vulnerabilità della privacy che di sicurezza. Comunque furbi gli sviluppatori a generare URL sequenziali.

Ignoto

I Launcher della Ho erano bellissimi

mi ricordo quando erano uscite, bei tempi... pensavo fossero andate in disuso anni fa

Elia

Ancora esistono i GO? Che feels

-7KG in 30 giorni: ecco la tecnologia che ha monitorato la mia dieta!

Recensione OnePlus Nord N10: difficile da comprendere

Recensione Sony Xperia 5 II: il miglior top compatto Android

Recensione Realme 7 Pro: c'è di più oltre ai 65 Watt di ricarica