GO SMS Pro, falla enorme di sicurezza: a rischio foto, video e note vocali

GO SMS Pro, fra le applicazioni più utilizzate per la gestione degli sms del panorama Android, esporrebbe, a sua insaputa, contenuti multimediali trasferiti fra i vari utenti. A scoprire questa enorme falla, tenendo conto che l’applicazione è stata scaricata su Google Play da più di 100 milioni di persone, sono stati i ricercatori di sicurezza di SpiderLabs. Nel dettaglio, una volta che gli utenti si scambiano messaggi vocali, video e fotografie, questi possono essere in qualche modo “intercettati”. La falla è stata scoperta nella versione v7.91 di GO SMS Pro, una versione che è stata rilasciata lo scorso mese di febbraio: al momento non è chiaro se anche in altre versioni fosse presente questo bug, ma SpiderLabas non lo esclude specificando che “riteniamo che ciò possa influire anche le versioni precedenti alla 7.91 e potenzialmente quelle future”. Il problema sta nel fatto che, se una persona vuole inviare tramite GO SMS Pro un file multimediale ad un altro utente Android che non ha l’app sul proprio telefonino, il file verrà spedito tramite un link via SMS, ed è in questo caso che viene a galla la falla.

GO SMS PRO, FALLA DI SICUREZZA: “QUALSIASI UTENTE CHE HA IL LINK…”

“SpiderLabs – spiegano i ricercatori – ha scoperto che l’accesso al collegamento era possibile senza alcuna autenticazione o autorizzazione, il che significa che qualsiasi utente con il collegamento è in grado di visualizzare il contenuto”. In poche parole, se in qualche modo una persona terza vedesse il link scambiato fra i due utenti, a quel punto gli basterà digitarlo sul proprio browser per accedere ai file privati, un problema non da poco. Questo è ad esempio un url inviato via sms “Ti ho inviato un clip audio: http://gs.3g.cn/D/dd1efd/w”. A quel punto basterà ricordarsi il link e poi scoprire cosa contiene. I ricercatori di SpiderLabs hanno inoltre scoperto che il collegamento URL era di tipo sequenziale, quindi ancora più prevedibile. “Basterà infatti eseguire un semplice script bash – ricorda hdblog.it – per generare un elenco di collegamenti ed accedere così ai file multimediali privati inviati tramite l’applicazione”. Purtroppo la falla di sicurezza è ancora presente, di conseguenza sarà meglio non utilizzare l’app fino a che il bug non verrà risolto.

LEGGI ANCHE Smartphone Android più performanti di ottobre: l’Asus Rog Phone 3 regna