I ricercatori di Trustwave hanno di nuovo messo in evidenza quanto sia importante scegliere con attenzione le applicazioni da installare sui dispositivi Android.
Un’app estremamente popolare con oltre 100 milioni di download, GO SMS Pro, ancora oggi pubblicata sul Play Store di Google, espone foto, video e altri file personali che diventano alla mercé di criminali informatici e malintenzionati.
GO SMS Pro, come fanno altre app per la messaggistica, consente agli utenti di condividere privatamente file multimediali di vario genere. Nel caso in cui il destinatario utilizzasse la medesima applicazione, il file inviato viene automaticamente mostrato nell’interfaccia dell’app.
Nel caso in cui l’utente che riceve i file non avesse installato GO SMS Pro otterrà un URL via SMS per scaricare tutti i dati.
I ricercatori di Trustwave si sono accorti che il link condiviso via SMS non soltanto è accessibile senza alcun tipo di autenticazione ma l’identificativo esadecimale viene generato in modo sequenziale ed è quindi facilmente generabile da parte di chiunque. Così facendo eventuali malintenzionati possono facilmente accedere ai file altrui e addirittura creare un crawler capace di impossessarsi dei dati di altri inconsapevoli utenti.
Nel post di Trustwave è stato pubblicato un esempio di script che può essere utilizzato per generare tutti gli URL usati dagli utenti di GO SMS Pro e disporre iterativamente il download dei dati altrui.
I ricercatori hanno ripetutamente provveduto a contattare gli autori di GO SMS Pro fin dallo scorso 18 agosto non ricevendo però alcuna risposta.
La grave vulnerabilità descritta da Trustwave è quindi ancora presente nell’app Android che continua a essere utilizzata giornalmente da milioni di utenti in tutto il mondo.
A questo punto Trustwave consiglia di sospendere l’uso dell’app, almeno fintanto che gli sviluppatori non avranno preso a cuore la problematica e non si saranno attivati per risolverla.