Una App de envío y recepción de mensajes SMS llamada Go SMS Pro para terminales Android, está filtrando todo tipo de datos privados de sus 100 millones de usuarios de manera indiscriminada. Esto es lo que han detectado una empresa de seguridad llamada Trustwave, que se puso en contacto con los desarrolladores de esta App hace tres meses para avisarles (gratuitamente) de este problema de seguridad. Sin embargo los desarrolladores ni siquiera han contestado, y por supuesto, no han solucionado el problema, que os contamos a continuación.
Go SMS Pro tiene un sistema que permite a los usuarios subir imágenes, vídeos o cualquier otro fichero a sus propios servidores. Esto se hace de manera automática y por defecto con cualquier mensaje que envíen con esta App, en el que adjunten cualquier tipo de medios. Esos contenidos, quedan almacenados en los servidores de Go SMS Pro incluso si el usuario al otro lado, el que recibe el mensaje, ya los ha descargado. Pero este no es el verdadero problema; En donde se han equivocado totalmente, es en que estos ficheros adjuntos se suben todos utilizando una secuencia progresiva, es decir, un número en el nombre de fichero. Sabiendo la URL de uno de ellos (y la propia App te da esa URL), simplemente cambiando el número es posible ver los ficheros que envían los demás usuarios de la App.
Así, en pocos minutos, es fácil ver todo tipo de fotos, vídeos (obviamente muchos de ellos explícitos) pero también todo tipo de documentos con datos de cuentas bancarias, direcciones, nombres, claves… la situación es muy grave, porque los usuarios que utilizan esta App no piensan que esto está ocurriendo.
Desde Trustwave indican que al no haber recibido respuesta alguna de los desarrolladores, hacen pública esta vulnerabilidad para avisar a los usuarios y que éstos no envíen datos importantes a través de esta App, para evitar que su privacidad se vea comprometida.
En la App Store del iPhone este tipo de problemas, aunque no son imposibles, sí es más difícil que ocurra porque el equipo de revisión de Apps comprueba también las conexiones y comprueban este tipo de problemas. La manera de solucionar lo que Go SMS Pro hace, es utilizar un nombre de fichero con hash, un código alfanumérico bien largo creado aleatoriamente e único para cada fichero. Además de eso, las conexiones de petición de estos ficheros deberían ir limitadas a las que puede hacer la App, y no cualquier ordenador o smartphone con acceso a Internet. Por último, esas conexiones deberían producirse cifradas, pero increíblemente, no lo son. Utilizan el protocolo http:// en lugar de https:// – es decir, no hay certificados SSL que cifren la transferencia de esos datos de punta a punta. Muy probablemente Go SMS Pro no hubiera sido aceptada en la App Store por esta razón.