Go SMS Pro já é conhecido por muitos aqui no Brasil, no entanto, popularidade nem sempre é sinônimo de segurança. Ocorre que o Go SMS Pro continha uma gravíssima vulnerabilidade que poderia permitir a qualquer pessoa acesso as fotos, vídeos e qualquer outro arquivo por seus usuários.
No entanto, mesmo a falha tendo sido reportada em agosto, ou seja 4 meses atrás. A equipe de desenvolvedores do Go SMS Pro apenas lançou uma nova versão e não sabemos se foi feita a correção ou não. Afinal de contas, o aplicativo teve mais de 100 milhões de downloads no Google Play antes da sua remoção pelo Google.
Sobre a falha do Go SMS Pro
Uma pesquisa profunda foi feita pela equipe de segurança cibernética de Cingapura Trustwave, e foi detectaram que os arquivos transferidos entre usuários estavam sendo expostos publicamente. Pois bem, o aplicativo consegue enviar arquivos de mídias, como fotos, vídeos, áudio e outros conteúdo entre seus usuários, como fazem, os atuais aplicativos de mensagens que já conhecemos.
Mas, um detalhe importante, os usuários que não usam o Go SMS Pro poderia também baixar os arquivos enviados através de um link compartilhado por quem usa o app para quem não o tem. No que lhe concerne, este link permite ao destinatário visualizar o conteúdo compartilhado.
No entanto, os desenvolvedores do Go SMS Pro não foram muito inteligentes. Ocorre que o link compartilhado com quem não tem o Go SMS Pro instalado em seu smartphone é gerado sequencialmente, o que permitiria que qualquer pessoa pudesse abrir o seu navegador em qualquer dispositivo e colar qualquer link.
Desta forma ao colar o link, o conteúdo seria exibido sem nenhum problema. E tem mais, por ser sequencial, seria possível prever o código do próximo compartilhamento. Desta forma, digamos que o link terminasse em dd1a55/w o próximo link seria o dd1a56 e assim por diante.
Conforme imagem acima, parte do relatório da Trustwave, é fácil para qualquer pessoa com conheciment técnico ou não, alterar parte do link e ter acesso a conteúdo enviado por outras pessoas.
Os pesquisadores da Trustwave encontraram o problema principalmente no Go SMS Pro versão 7.91, embora tenham mencionado em um post de blog que ele ainda estava em vigor. Zack Whittaker, do TechCrunch, mencionou em seu relatório que, após olhar algumas dezenas de links, viu o número de telefone de uma pessoa, uma captura de tela de uma transferência bancária e uma confirmação de pedido que incluía o endereço residencial de uma pessoa, entre outros detalhes.
O que disse os desenvolvedores do Go SMS Pro
De agosto até hoje, nada! A empresa de segurança tentou contato com os desenvolvedores nos dias 18 de agosto, 15 de setembro, 14 de outubro, 16 de novembro e nenhuma resposta foi dada. No entanto, neste exato momento da escrita deste post, eu mesmo testei o link abaixo, e alterando de forma sequencial consegui visualizar arquivos de pessoas que eu não conheço.
Link teste: http://gs.3g.cn/D/dd1efd/w
Então, para sua segurança, remova agora o aplicativo Go SMS Pro urgentemente e não volte a utilizar até que a empresa lance alguma correção e desative estes acessos a links gerais e faça a correção garantindo a segurança de seus usuários.
Com informações do Trustwave, Gadgets, TechCrunch.
Google lança nova tecnologia sucessora do antigo SMS e você já pode usar agora!
