Error sin parche en aplicación GO SMS Pro expone millones de mensajes multimedia

  • 0 Respuestas
  • 356 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1417
  • Actividad:
    100%
  • Country: gt
  • Reputación 17
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil

Se ha descubierto que GO SMS Pro, una popular aplicación de mensajería para Android con más de 100 millones de instalaciones, tiene una falla de seguridad sin parches que expone públicamente los medios transferidos entre usuarios, incluidos mensajes de voz privados, fotos y videos.

"Esto significa que cualquier medio sensible compartido entre los usuarios de esta aplicación de mensajería corre el riesgo de verse comprometido por un atacante no autenticado o un usuario curioso", dijo el consultor de seguridad senior de Trustwave, Richard Tan, en un informe compartido con The Hacker News.

Según Trustwave SpiderLabs, la deficiencia se detectó en la versión 7.91 de la aplicación, que se lanzó en Google Play Store el 18 de febrero de 2020.

La firma de ciberseguridad dijo que intentó contactar a los creadores de la aplicación varias veces desde el 18 de agosto de 2020, sin recibir una respuesta.
Pero al revisar el registro de cambios de la aplicación, GO SMS Pro recibió una actualización (v7.92) el 29 de septiembre, seguida de otra actualización posterior, que se publicó ayer. Sin embargo, las últimas actualizaciones de la aplicación aún no abordan la debilidad mencionada anteriormente.


La vulnerabilidad se debe a la forma en que se muestra el contenido multimedia cuando los destinatarios no tienen la aplicación GO SMS Pro instalada en sus dispositivos, lo que genera una posible exposición.

"Si el destinatario tiene la aplicación GO SMS Pro en su dispositivo, los medios se mostrarán automáticamente dentro de la aplicación", dijo Tan. "Sin embargo, si el destinatario no tiene instalada la aplicación GO SMS Pro, el archivo multimedia se envía al destinatario como una URL a través de SMS. El usuario puede hacer clic en el enlace y ver el archivo multimedia a través de un navegador".

Este enlace (por ejemplo, "https://gs.3g.cn/D/dd1efd/w") no solo es accesible para cualquier persona sin autenticación previa, la URL se genera independientemente de si el destinatario tiene la aplicación instalada, lo que permite un actor para acceder a los archivos multimedia enviados a través de la aplicación.


Específicamente, al incrementar los valores hexadecimales secuenciales en la URL (por ejemplo, "https://gs.3g.cn/D/e3a6b4/w"), la falla hace posible ver o escuchar otros mensajes multimedia compartidos entre otros usuarios. . Un atacante puede aprovechar esta técnica para generar una lista de URL y robar datos del usuario sin su conocimiento.

Es probable que la falla también afecte a la versión iOS de GO SMS Pro, pero hasta que haya una solución, se recomienda encarecidamente evitar el envío de archivos multimedia utilizando la aplicación de mensajería afectada.

Vía: The Hacker News.

 

Un "error técnico" en Messenger Kids permitió a miles de niños unirse a chats si

Iniciado por Dragora

Respuestas: 0
Vistas: 423
Último mensaje Julio 24, 2019, 01:58:36 am
por Dragora
Google envió por error vídeos privados de Google Fotos a personas ajenas a ellos

Iniciado por Dragora

Respuestas: 0
Vistas: 253
Último mensaje Febrero 04, 2020, 01:02:16 pm
por Dragora
Error de actualización de Windows 10 KB4532693 "elimina" archivos de usuarios

Iniciado por Dragora

Respuestas: 0
Vistas: 912
Último mensaje Febrero 20, 2020, 08:06:43 pm
por Dragora
Cómo Pixar recuperó 'Toy Story 2' tras borrar toda la película por error

Iniciado por Dragora

Respuestas: 0
Vistas: 697
Último mensaje Julio 01, 2019, 01:56:33 am
por Dragora
Demo Exploit Code disponible para el error de escalada de privilegios en Windows

Iniciado por AXCESS

Respuestas: 0
Vistas: 1179
Último mensaje Abril 10, 2019, 04:19:17 pm
por AXCESS