Go SMS Pro, una app que debes borrar: Expone tus datos
La aplicación ha sido instalada 100 millones de veces, pero se ha descubierto que expone datos personales.
“Casi 100 millones de usuarios han elegido la aplicación de mensajería número 1 para reemplazar las otras. La nueva aplicación de mensajería es simple, intuitiva, personalizada…”. Esto es lo primero que se podía leer en la Play Store sobre Go SMS Pro, una aplicación para chatear muy popular. De hecho tanto que se había descargado e instalado unas 100 millones de veces. Y hablamos en pasado de ella porque Google la ha borrado de su tienda. ¿El motivo?
La exposición de datos de usuarios.
Go SMS Pro app
Según han descubierto webs como TechCrunch, Go SMS Pro tiene un fallo de seguridad masiva que permite potencialmente a las personas acceder al contenido sensible -los datos privados- que has enviado con la aplicación. Y aunque el fabricante de la app fue informado del problema hace meses, lo cierto es que no han lanzado ni una sola actualización en todo este tiempo para solucionarlo.
¿Cuánta y qué tipo de información privada se filtra de la aplicación? Esto es lo que TechCrunch se ha encontrado con los perfiles que ha podido ver debido al fallo:
- Número de teléfono de una persona
- Captura de pantalla de una transferencia bancaria
- Confirmación de pedido que incluía la dirección de la casa de alguien
- Registro de arresto y “fotos mucho más explícitas de lo que esperábamos, para ser bastante honestos", según el reportero de seguridad cibernética Zack Whittaker
El problema está en la URL
Go SMS Pro sube todos los archivos de medios que se envían a Internet y los hace accesibles con una URL, según un informe de Trustwave. Cuando envías un mensaje con medios a través de Go SMS Pro, como una foto o un vídeo, la aplicación sube el contenido a sus servidores, crea una URL que apunta a él y envía esa URL al destinatario. Si el destinatario también tiene Go SMS Pro, el contenido aparece directamente en el mensaje, pero la aplicación sigue cargando el archivo y sigue creando ese enlace de acceso público en Internet.
Esa URL es donde está el problema: No se requiere autenticación para mirar el enlace, lo que significa que cualquiera que lo tenga puede ver el contenido que alberga. Y las URLs generadas por la aplicación aparentemente tienen una dirección secuencial y predecible, lo que significa que cualquiera puede mirar otros archivos con sólo cambiar las partes correctas de la URL.
En teoría, incluso podrías escribir un guión para autogenerar URLs secuenciales para poder encontrar y navegar rápidamente a través de un montón de contenido privado compartido por las personas que utilizan Go SMS Pro.
Peor aún, el desarrollador de la aplicación no ha respondido, por lo que no está claro si esta vulnerabilidad se solucionará alguna vez. La web Trustwave dijo que ha contactado al desarrollador "hasta en 4 ocasiones desde el 18 de agosto de 2020 para notificarle sobre la vulnerabilidad, sin respuesta". TechCrunch intentó enviar dos correos electrónicos conectados a la aplicación, y uno de ellos rebotó con un mensaje que decía que la bandeja de entrada de esa dirección estaba llena.
Otro email fue abierto pero no fue respondido, y un correo electrónico de seguimiento no ha sido abierto. El medio The Verge intentó contactar con el desarrollador para pedirle un comentario a través de un correo electrónico que aparecía en la lista de Play Store, pero el correo electrónico se devolvió con un mensaje de "bandeja de entrada del destinatario llena". Y el sitio web del desarrollador que aparece en la lista de la Play Store parece estar roto.
Eliminada de la Play Store
Dado todo lo sucedido, y la presencia del caso en medios especializados, la cosa se ha solucionado de forma radical: No con los desarrolladores de Go SMS Pro arreglando su app, sino con Google borrándola directamente de su Play Store. por lo que ya no está disponible. Si por lo que sea la tienes, mejor desinstálala en el acto de tu móvil.