Un fallo en la popular aplicación de mensajería permitiría a un atacante remoto no autenticado obtener información sensible sobre los usuarios de la aplicación. Esta información incluye mensajes de voz, vídeos y fotos.

GO SMS Pro cuenta con alrededor de 100 millones de descargas en Google Play. Lo que supone para los atacantes una importante fuente de información para realizar potenciales ataques de diversa índole.

Se ha confirmado como vulnerable la versión v7.91, pero es probable que el fallo afecte también a versiones anteriores y futuras.

Una de las características de GO SMS Pro es la de compartir archivos multimedia con otros usuarios de la aplicación. Si el receptor tiene instalada en su dispositivo la aplicación, se mostraría en la interfaz del usuario que envía el mensaje. En caso de que el receptor no tenga la aplicación instalada, el fichero se comparte desde una URL enviada por SMS. El usuario receptor puede entonces hacer click en el enlace y ver el archivo multimedia desde su navegador.

El equipo de investigadores de SpiderLabs descubrió que es posible acceder a este enlace sin ningún tipo de autenticación o autorización, lo que significa que cualquier usuario con el enlace sería capaz de ver la información compartida. A este fallo se una que los enlaces siguen una secuencia (hexadecimal) precedible, lo que permitiría listar por fuerza bruta todos los archivos compartidos con la aplicación. Si tenemos en cuenta que los enlaces se generan aunque el usuario receptor tenga la aplicación instalada, estamos ante un fallo que impacta gravemente a la privacidad de los usuarios de la aplicación.

A continuación veremos cómo un atacante podría revelar la información compartida por otros usuarios de la aplicación:

Cuando un usuario recibe un SMS con el enlace al archivo multimedia, recibe un mensaje como el siguiente:

«I sent you an audio clip: http://gs.3g.cn/D/dd1efd/w»

Si incrementamos el valor de la URL, es posible ver o escuchar otros mensajes que hayan compartido otros usuarios de la aplicación.

Mediante un simple script en bash es posible generar URLs que contienen posibles archivos compartidos por los usuarios.

Tras múltiples intentos de contactar con el desarrollador, el equipo de SpiderLabs en Trustwave ha decidido hacer público el fallo, e insta a sus usuarios evitar compartir información privada a través de esta aplicación.

Más información:

Trustwave SpiderLabs Security Advisory TWSL2020-008
https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=28146