Pesquisadores descobriram que o Go SMS Pro, um popular app de mensagens para Android com mais de 100 milhões de downloads, expõe publicamente arquivos transferidos entre os usuários do app. Isto significa que quaisquer mensagens de voz, vídeos ou photos enviados estão à disposição de um curioso, ou malfeitor, na internet, sem nenhuma barreira para o acesso.

A falha foi descoberta por pesquisadores da Trustwave na versão 7.91 do Go SMS Pro, mas segundo eles “provavelmente” ocorre também em todas as versões passadas e potencialmente ocorrerá também nas atualizações futuras.

O protocolo SMS não permite a troca de arquivos, apenas mensagens de texto de no máximo 140 caracteres cada. Para contornar o problema, quando um usuário envia um arquivo a outro o Go SMS Pro faz o upload deste arquivo para seus servidores, e compartilha um link para o acesso.

Se o destinatário também tiver o Go SMS Pro instalado, o link é automaticamente convertido em um preview do arquivo que aparece na janela de conversa. Se não tiver, ele verá apenas o link, que pode ser aberto em um navegador em seu aparelho.

O problema é que este link não tem qualquer tipo de autenticação: qualquer pessoa com ele pode ver o conteúdo, não importa quem seja. E mensagens SMS são enviadas “em aberto”, sem criptografia, o que as torna vulneráveis a escutas.

Reprodução

Go SMS Pro: arquivos enviados pelo app estão expostos na web. Foto: Play Store/Reprodução

Mas o principal problema é que o identificador do arquivo dentro da URL é um número hexadecimal sequencial. É trivial incrementar o identificador manualmente, ou gerar um script que faça isso automaticamente, e acessar arquivos de outros usuários do app.

Em um teste rápido não precisamos de mais do que alguns minutos para encontrar documentos como cartões de crédito e carteiras de motorista, em meio a fotos trocadas entre amigos e animações desejando feliz aniversário.

Desde que a falha foi descoberta, em 18 de agosto, a TrustWave tentou contatar o desenvolvedor do app, a “Best Free Video Editor & Video Maker Dev Communication” quatro vezes. Em nenhuma delas conseguiu resposta.

Sites como o The Verge e o TechCrunch também tentaram contato, e receberam uma resposta automática dizendo que a caixa postal estava cheia. E o site do desenvolvedor listado na PlayStore está fora do ar, mostrando uma mensagem genérica de um servidor web recém-instalado.

Se você usa o Go SMS Pro, nossa recomendação é que o desinstale imediatamente, ou ao menos que não compartilhe nenhum dado pessoal ou informação confidencial dentro do app. Há alternativas gratuitas e muito mais seguras, como o Telegram, Signal ou mesmo o WhatsApp.