Go SMS Pro, una app que debes borrar: Expone tus datos

¡°Casi 100 millones de usuarios han elegido la aplicaci¨®n de mensajer¨ªa n¨²mero 1 para reemplazar las otras. La nueva aplicaci¨®n de mensajer¨ªa es simple, intuitiva, personalizada¡­¡±. Esto es lo primero que se pod¨ªa leer en la Play Store sobre Go SMS Pro, una aplicaci¨®n para chatear muy popular. De hecho tanto que se hab¨ªa descargado e instalado unas 100 millones de veces. Y hablamos en pasado de ella porque Google la ha borrado de su tienda. ?El motivo?

La exposici¨®n de datos de usuarios.

Go SMS Pro app

Seg¨²n han descubierto webs como TechCrunch, Go SMS Pro tiene un fallo de seguridad masiva que permite potencialmente a las personas acceder al contenido sensible -los datos privados- que has enviado con la aplicaci¨®n. Y aunque el fabricante de la app fue informado del problema hace meses, lo cierto es que no han lanzado ni una sola actualizaci¨®n en todo este tiempo para solucionarlo.

?Cu¨¢nta y qu¨¦ tipo de informaci¨®n privada se filtra de la aplicaci¨®n? Esto es lo que TechCrunch se ha encontrado con los perfiles que ha podido ver debido al fallo:

- N¨²mero de tel¨¦fono de una persona

- Captura de pantalla de una transferencia bancaria

- Confirmaci¨®n de pedido que inclu¨ªa la direcci¨®n de la casa de alguien

- Registro de arresto y ¡°fotos mucho m¨¢s expl¨ªcitas de lo que esper¨¢bamos, para ser bastante honestos", seg¨²n el reportero de seguridad cibern¨¦tica Zack Whittaker

El problema est¨¢ en la URL

Go SMS Pro sube todos los archivos de medios que se env¨ªan a Internet y los hace accesibles con una URL, seg¨²n un informe de Trustwave. Cuando env¨ªas un mensaje con medios a trav¨¦s de Go SMS Pro, como una foto o un v¨ªdeo, la aplicaci¨®n sube el contenido a sus servidores, crea una URL que apunta a ¨¦l y env¨ªa esa URL al destinatario. Si el destinatario tambi¨¦n tiene Go SMS Pro, el contenido aparece directamente en el mensaje, pero la aplicaci¨®n sigue cargando el archivo y sigue creando ese enlace de acceso p¨²blico en Internet.

Esa URL es donde est¨¢ el problema: No se requiere autenticaci¨®n para mirar el enlace, lo que significa que cualquiera que lo tenga puede ver el contenido que alberga. Y las URLs generadas por la aplicaci¨®n aparentemente tienen una direcci¨®n secuencial y predecible, lo que significa que cualquiera puede mirar otros archivos con s¨®lo cambiar las partes correctas de la URL.

En teor¨ªa, incluso podr¨ªas escribir un gui¨®n para autogenerar URLs secuenciales para poder encontrar y navegar r¨¢pidamente a trav¨¦s de un mont¨®n de contenido privado compartido por las personas que utilizan Go SMS Pro.

Peor a¨²n, el desarrollador de la aplicaci¨®n no ha respondido, por lo que no est¨¢ claro si esta vulnerabilidad se solucionar¨¢ alguna vez. La web Trustwave dijo que ha contactado al desarrollador "hasta en 4 ocasiones desde el 18 de agosto de 2020 para notificarle sobre la vulnerabilidad, sin respuesta". TechCrunch intent¨® enviar dos correos electr¨®nicos conectados a la aplicaci¨®n, y uno de ellos rebot¨® con un mensaje que dec¨ªa que la bandeja de entrada de esa direcci¨®n estaba llena.

Otro email fue abierto pero no fue respondido, y un correo electr¨®nico de seguimiento no ha sido abierto. El medio The Verge intent¨® contactar con el desarrollador para pedirle un comentario a trav¨¦s de un correo electr¨®nico que aparec¨ªa en la lista de Play Store, pero el correo electr¨®nico se devolvi¨® con un mensaje de "bandeja de entrada del destinatario llena". Y el sitio web del desarrollador que aparece en la lista de la Play Store parece estar roto.

Eliminada de la Play Store

Dado todo lo sucedido, y la presencia del caso en medios especializados, la cosa se ha solucionado de forma radical: No con los desarrolladores de Go SMS Pro arreglando su app, sino con Google borr¨¢ndola directamente de su Play Store. por lo que ya no est¨¢ disponible. Si por lo que sea la tienes, mejor desinst¨¢lala en el acto de tu m¨®vil.