Hace aproximadamente una semana escribíamos sobre la aplicación Go SMS Pro, con millones de usuarios alrededor del mundo, tenía vulnerabiildades que le permitían a un atacante acceder a los archivos enviados entre los usuarios de la aplicación, incluyendo mensajes de voz, fotos y vídeos, los cuales se almacenaban en un servidor que estaba públicamente accesible y no disponía de autenticación.

Esta vulnerabilidad se observó en la versión 7.91 de la app, publicada en Google Play Store el 18 de febrero de este año, y desde entonces los desarrolladores han lanzado tres actualizaciones, dos de las cuales (v7.93 y v7.94) se publicaron en Google Play Store después de que Google eliminase la versión inicial a consecuencia de los fallos publicados por los investigadores.

La aplicación volvió a estar disponible en este market el pasado 23 de noviembre, pero a raíz de un nuevo análisis del equipo de Trustwave se ha descubierto que esta vulnerabilidad todavía no ha sido solventada en su totalidad.

En la versión 7.93 los desarrolladores eliminaron por completo la posibilidad de enviar archivos multimedia, mientras que en la versión 7.94 se volvió a implementar esta característica, pero parece no estar funcionando.

Asimismo, los investigadores han confirmado que los archivos utilizados para comprobar la vulnerabilidad inicialmente siguen estando disponibles, lo que incluye información sensible como carnets de conducir, números de cuenta de la seguridad social, documentos legales y fotos de diversa naturaleza.

Uno de los aspectos más preocupantes es que la vulnerabilidad podría estar siendo explotada a día de hoy, ya que en lugares como Pastebin y Github se han publicado herramientas y exploits para llevar a cabo el ataque, y a su vez, han aparecido evidencias de que esos archivos que siguen estando disponibles podrían estar siendo distribuidos en algunos foros underground.

Desde Hispasec Sistemas recomendamos utilizar otros servicios de mensajería disponibles para evitar que nuestra información se pueda ver afectada. Asimismo, aconsejamos estar al día en las últimas noticias de seguridad informática y mantener nuestros dispositivos actualizados para no ser víctimas de ataques que, en última instancia, van dirigidos contra nuestra privacidad y que con un solo clic quizás podríamos haber evitado.

Más información:

Incomplete ‘Go SMS Pro’ Patch Left Millions of Users’ Data Still Exposed Online

WARNING: Unpatched Bug in GO SMS Pro App Exposes Millions of Media Messages

GO SMS Pro app still exposing millions of users’ sensitve data