App Go SMS Pro vaza dados de mais de 100 milhões de usuários

Problema do aplicativo foi exposto em novembro, mas mesmo depois de duas versões novas lançadas, Go SMS Pro segue apresentando risco de vazamentos
Por Rafael Arbulu, editado por Wellington Arruda 02/12/2020 11h34, atualizada em 02/12/2020 11h51

Hacker

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

O aplicativo Go SMS Pro, que é basicamente uma versão alternativa com mais recursos que o app padrão de mensagens do Android, vem apresentando falha grave de segurança. Segundo levantamento da empresa de cibersegurança Trustwave Spiderlabs, hackers têm se aproveitado de um problema que lhes permite baixar e vazar conteúdo privado de mais de 100 milhões de usuários, como fotos, vídeos e mensagens de voz.

O problema foi originalmente exposto no início de novembro, porém, os desenvolvedores do Go SMS Pro, mesmo já tendo disponibilizado duas atualizações do aplicativo na Play Store, ainda não conseguiram resolver o problema. Segundo a Trustwave, fóruns online utilizados por hackers ainda estão divulgando materiais particulares de usuários cujo app permitiu invasão.

Go SMS Pro
Go SMS Pro: App de envio de mensagens multimídia tem falha de segurança que vaza fotos e vídeos dos usuários. Imagem: Go SMS Pro/Divulgação

O problema reside na falta de autenticação: com o Go SMS Pro, um usuário pode enviar um arquivo de mídia a outro, mesmo que o recipiente não tenha o app instalado. Neste caso, um link é enviado à pessoa para que ela clique e assista a mídia por meio de uma interface web. Entretanto, essa interface não conta com nenhum pedido de autenticação – qualquer pessoa que tenha a URL em mãos pode visualizar o material.

“Com uma execução de script simples, é fácil jogar uma rede bem ampla para capturar esse conteúdo”, disse a Trustwave em comunicado. “Ainda que não seja possível relacionar a mídia com um usuário específico, arquivos com rostos, nomes ou outras características de identificação podem fazer isso por você”.

Para sanar o problema, os desenvolvedores publicaram uma nova versão do app (v7.93) na Play Store em 19 de novembro (um dia antes do relato original da Trustwave), seguida de outra versão (v7.94) em 23 do mesmo mês. Em um post em seu blog oficial, porém, a Trustwave confirmou que a falha ainda está ativa:

Logomarca do Go SMS Pro: app já teve duas atualizações publicadas na Play Store, mas segue apresentando problemas (Imagem: Go SMS Pro/Reprodução)

“Nós podemos confirmar que as mídias antigas usadas para verificar a vulnerabilidade original ainda estão disponíveis”, disse a empresa. “Isso inclui um conteúdo preocupante de dados sensíveis, como carteiras de habilitação, números de associação a planos de saúde, documentos de cunho legal e, claro, fotos de natureza mais ‘romântica’”.

Quanto às novas versões, a Trustwave reconhece que há mudanças feitas no código do Go SMS Pro, porém elas ainda não resolvem o problema principal, o que faz a empresa concluir que usuários, mesmo com as versões atualizadas, ainda estão sob risco.

Ainda segundo a Trustwave, alguns hackers estão disponibilizando materiais capturados em arquivos no pastebin ou GitHub, enquanto outros parecem estar obtendo mídias sensíveis diretamente dos servidores do Go SMS Pro.

A empresa disse ter entrado em contato com a equipe de desenvolvedores do aplicativo, mas até agora, não houve resposta.

Fonte: Trustwave

Colaboração para o Olhar Digital

Rafael Arbulu é colaboração para o olhar digital no Olhar Digital

Wellington Arruda é editor(a) no Olhar Digital