Os usuários do Android precisam estar cientes de um sério problema de segurança com um aplicativo extremamente popular da Google Play Store que foi baixado centenas de milhões de vezes. O aplicativo Go SMS Pro é um serviço de mensagens popular que foi baixado por usuários do Android mais de 100 milhões de vezes da Google Play Store. Mas os pesquisadores de segurança descobriram uma grande vulnerabilidade com o aplicativo Android que pode expor fotos privadas, vídeos e outros arquivos enviados por usuários.
E, de acordo com uma postagem do TechCrunch, os fabricantes do aplicativo não corrigiram o problema, apesar de terem sido notificados há meses.
Em agosto, pesquisadores de segurança da empresa de segurança cibernética Trustwave, sediada em Cingapura, descobriram a falha do Go SMS Pro e contataram os fabricantes de aplicativos a respeito.
Os desenvolvedores receberam um prazo de 90 dias para eliminar a vulnerabilidade antes que os especialistas em segurança divulgassem suas descobertas.
No entanto, após essa data ter passado sem uma resposta dos criadores do aplicativo Android, a Trustwave divulgou detalhes de sua pesquisa.
LEIA MAIS: o Google lança um ótimo novo recurso e está indo primeiro para o iPhone
Em um post online, a Trustwave disse que a falha foi descoberta com o Go SMS Pro versão 7.91 – com versões anteriores e futuras que também foram afetadas.
Como com outros aplicativos de mensagens, Go SMS Pro permite que os usuários dos programas enviem mídia privada, como fotos, vídeos ou arquivos uns para os outros.
No entanto, o problema surge quando alguém usando Go SMS Pro envia algo para outro usuário do Android que não tem esse aplicativo instalado.
Quando isso acontece, o arquivo de mídia é enviado ao destinatário como uma URL, em vez de no aplicativo – o que permite ao usuário que recebe o arquivo clicar em um link da web e abri-lo no navegador.
No entanto, os pesquisadores descobriram que esses URLs eram fáceis de prever, pois foram criados sequencialmente.
Portanto, qualquer parte nefasta que soubesse como esses URLs foram criados poderia facilmente mexer com eles para acessar milhões de endereços da web diferentes.
Em seu estudo online, a Trustwave disse: “O acesso ao link era possível sem qualquer autenticação ou autorização, o que significa que qualquer usuário com o link pode visualizar o conteúdo.
“Além disso, o link da URL era sequencial (hexadecimal) e previsível. Além disso, ao compartilhar arquivos de mídia, um link será gerado independentemente de o destinatário ter o aplicativo instalado.
“Como resultado, um usuário mal-intencionado pode acessar potencialmente qualquer arquivo de mídia enviado por meio deste serviço e também qualquer um que seja enviado no futuro. Isso obviamente afeta a confidencialidade do conteúdo de mídia enviado por meio deste aplicativo.”
Enquanto Karl Sigler, gerente sênior de pesquisa de segurança da Trustwave, disse ao TechCrunch: “Um invasor pode criar scripts que podem lançar uma ampla rede em todos os arquivos de mídia armazenados na instância da nuvem”.
A Trustwave disse que entrou em contato com os fabricantes do aplicativo Go SMS Pro várias vezes desde 18 de agosto, sem receber uma resposta.
Como resultado, no momento de divulgar suas descobertas, a Trustwave disse que a vulnerabilidade ainda existia e representava um risco para os usuários.
Eles aconselharam qualquer pessoa que usasse o aplicativo Go SMS Pro para Android a não enviar arquivos de mídia que desejavam que permanecessem privados ou contivessem dados confidenciais até que o problema fosse resolvido.