Una delle app di messaggistica SMS più popolari su Android presenta un grave difetto di sicurezza che lo sviluppatore dell'app non sembra voler risolvere. Foto, video e qualsiasi altro tipo di file inviato tramite Go SMS Pro, che conta oltre 100 milioni di installazioni, rischiano di essere intercettati da un hacker. Ad agosto, i ricercatori di sicurezza di Trustwave hanno scoperto che quando un utente Go SMS Pro inviava file a qualcuno che non possedeva l'app, il file veniva inviato ai server dell'app e veniva creato un indirizzo web. Questo indirizzo è stato poi inviato via SMS al destinatario in modo che potesse visualizzare il file online senza installare l'app. Tuttavia, Trustwave ha scoperto che gli indirizzi web creati erano sequenziali, il che li rendeva estremamente prevedibili. Inoltre, gli indirizzi web venivano creati ogni volta che un file veniva condiviso, anche tra due persone che utilizzavano l'app Go SMS Pro.
Il tempo è finito
Come è prassi comune con la divulgazione delle vulnerabilità, Trustwave ha informato Go SMS Pro del bug e ha concesso loro 90 giorni per pubblicare una correzione. Tuttavia, tale scadenza è passata, lasciando ai ricercatori di sicurezza poca scelta se non quella di rendere pubblica la vulnerabilità. "Trustwave ha tentato di contattare il fornitore in più occasioni dal 18 agosto 2020, ma non ha ricevuto risposta", ha affermato un ricercatore di sicurezza di Trustwave. “In quanto tale, questa vulnerabilità è ancora presente e rappresenta un rischio per gli utenti. Si consiglia vivamente di evitare di inviare file multimediali che si ritiene siano mantenuti privati o che possano contenere dati sensibili utilizzando questa popolare applicazione di posta elettronica, almeno fino a quando il provider non riconosce questa vulnerabilità e la risolve. rimedi. " Sebbene questa particolare vulnerabilità non consenta di prendere di mira un particolare utente, è comunque possibile acquisire informazioni molto sensibili in modo relativamente semplice. Inoltre, un autore di minacce potrebbe potenzialmente creare un semplice script che gli consentirebbe di acquisire una grande quantità di file multimediali in un poco tempo.tempo.Via TechCrunch