Secondo i ricercatori, una debolezza della sicurezza scoperta nell’app GO SMS Pro per Android può essere sfruttata per esporre pubblicamente i media inviati tramite l’app.
L’applicazione GO SMS Pro è una popolare app di messaggistica con oltre 100 milioni di download dal Google Play Store. I ricercatori di Trustwave SpiderLabs hanno affermato che i messaggi vocali privati, i messaggi video e le foto sono tutti a rischio di essere compromessi da un difetto banalmente sfruttabile nella versione 7.91.
Quando un utente invia un messaggio multimediale, il destinatario può riceverlo anche se non ha installato GO SMS Pro. In tal caso, il file multimediale viene inviato al destinatario come URL tramite SMS, quindi la persona può fare clic sul collegamento per visualizzare il file multimediale in una finestra del browser.
“SpiderLabs ha scoperto che l’accesso al collegamento era possibile senza alcuna autenticazione o autorizzazione, il che significa che qualsiasi utente con il collegamento è in grado di visualizzare il contenuto”, hanno spiegato i ricercatori in un messaggio di giovedì.
Di per sé, questo potrebbe essere sfruttato tramite un malware che analizza gli SMS o un exploit di informazioni basato sul browser. Ma i ricercatori hanno anche scoperto che gli URL utilizzati per i media sono sequenziali e prevedibili.
Quindi, prevedendo l’URL successivo nella sequenza esadecimale, un utente malintenzionato potrebbe visualizzare qualsiasi numero di file multimediale degli utenti senza il consenso.
“[Potrebbero] potenzialmente accedere a qualsiasi file multimediale inviato tramite questo servizio e anche a qualsiasi file inviato in futuro“, hanno osservato i ricercatori. “Incrementando il valore nell’URL, è possibile visualizzare o ascoltare altri messaggi multimediali condivisi tra altri utenti.“
Un semplice script bash potrebbe essere utilizzato per generare un elenco di esempio di URL utilizzando le modifiche prevedibili negli indirizzi, hanno aggiunto, che possono essere semplicemente incollati nell’estensione multi-scheda su Chrome o Firefox per una facile visualizzazione.
La grazia salvifica è che un utente malintenzionato non sarebbe in grado di ricollegare il supporto a un utente specifico, a meno che il file multimediale stesso non trapeli l’identità di una persona.
“Ad esempio, è possibile cercare un’immagine del profilo utilizzando la ricerca di immagini inversa, l’immagine di una patente di guida o documenti legali avranno informazioni di identificazione personale (PII) che possono essere utilizzate per collegare l’immagine a persone specifiche, ecc.”, ha detto Kurt Sigler il senior security research manager di SpiderLabs.
“Tuttavia, un’immagine casuale di un tramonto probabilmente non sarà facilmente riconducibile a una persona.“
È comunque un bug preoccupante, ha aggiunto Sigler. Ha affermato che, poiché un utente malintenzionato non può prendere di mira direttamente utenti specifici, “non lo considererei una gravità critica… ma l’ampia rete che può essere lanciata attorno a dati potenzialmente sensibili giustifica certamente una gravità elevata”.
Questa debolezza è stata confermata in GO SMS Pro v7.91, come accennato, ma mercoledì lo sviluppatore ha rilasciato una nuova versione (v.7.93). SpiderLabs non ha ancora testato questa nuova iterazione dell’app (ma Sigler ha detto che intende farlo), né lo sviluppatore ha mai riconosciuto il bug nonostante i molteplici tentativi di contatto a partire da metà agosto, hanno detto i ricercatori.
Una correzione includerebbe l’aggiunta di controlli di accesso adeguati nell’istanza cloud, l’implementazione di ID univoci più lunghi nell’URL che impediranno la navigazione sequenziale tra i dati o semplicemente la rimozione completa dell’istanza cloud fino a quando il problema non può essere risolto, secondo Sigler.
Gli utenti dovrebbero eseguire l’aggiornamento alla versione più recente nel caso in cui risolva il bug, ma per garantire che il contenuto rimanga privato, “si consiglia vivamente di evitare di inviare file multimediali tramite l’app che si prevede rimangano privati o che potrebbero contenere dati sensibili utilizzando questo popolare messenger, almeno fino a quando il fornitore non riconosce questa vulnerabilità e ne pone rimedio“, secondo SpiderLabs.
“Questo non dovrebbe essere comune ma gli sviluppatori inesperti potrebbero facilmente lasciarsi sfuggire qualcosa di simile”, ha detto Sigler. “Questo è il motivo per cui è importante aggiungere test di sicurezza a qualsiasi ciclo di vita di sviluppo delle applicazioni“.