Falha no GO SMS Pro pode expor arquivos multimídia de mais de 100 milhões de usuários

Arquivos de mídia enviados a usuários que não possuem o app podem ser acessados por meio de uma URL reduzida que redireciona para um servidor CDN (content delivery network) que a GO SMS usa para armazenar arquivos compartilhados.

O GO SMS Pro é um aplicativo para edição de mensagens e texto extremamente popular na plataforma Android, tendo mais de 100 milhões de usuários. Esta semana, a Trustwave SpiderLabs divulgou uma fraqueza descoberta há alguns meses por pesquisadores do time na versão 7.91 do aplicativo. Na verdade, embora não seja claro se outras versões do aplicativo são vulneráveis, a hipótese é bastante provável.

O Go SMS Pro, como qualquer outro aplicativo de mensagens, permite que pessoas enviem mensagens privadas com arquivos multimídia a outras pessoas. Caso o destinatário possua o app, então o arquivo é exibido no app; caso contrário, o arquivo é enviado a um endereço web que pode ser aberto no browser.

Os pesquisadores descobriram que esses links podem ser acessados sem qualquer autenticação ou autorização, de modo que qualquer pessoa que tenha um link pode visualizar o conteúdo. Eles também perceberam que os links de URL são sequenciais (hexadecimais) e previsíveis, o que significa que um invasor pode incrementar o valor em um URL específico para visualizar ou ouvir as mensagens de mídia de outros usuários sem autenticação.

A Trustwave descobriu a vulnerabilidade em agosto e tentou entrar em contato com o fornecedor do aplicativo várias vezes. A empresa não respondeu, o que significa que essa vulnerabilidade ainda representa um risco para os usuários. Os pesquisadores desaconselham o envio de arquivos de mídia que possam conter dados confidenciais até que a falha seja corrigida.

O Blog da Trustwave SpiderLabs apresenta os detalhes técnicos da vulnerabilidade.

Informações obtidas e adaptadas de https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-media-file-theft/, https://www.darkreading.com/threat-intelligence/go-sms-pro-messaging-app-exposed-users-private-media-files/d/d-id/1339492, https://www.bleepingcomputer.com/news/security/android-chat-app-with-100-million-installs-exposes-private-messages/ e https://threatpost.com/go-sms-pro-android-app-exposes-private-photos/161407/.