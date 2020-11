Go SMS Pro, con i suoi 100 milioni di download sul Play Store, è una delle più popolari applicazioni di messaggistica su dispositivi Android. Nelle scorse settimane, però, il team di ricerca Trustwave, ha scoperto una importante falla di sicurezza che mina profondamente la protezione delle informazioni condivise attraverso l’applicazione.

Il contenuto dei messaggi non è protetto

Nonostante il team abbia notificato la vulnerabilità al team di sviluppo dell’app e atteso i canonici 90 giorni prima della pubblicazione della scoperta, gli sviluppatori di Go SMS Pro non hanno né rilasciato un aggiornamento in grado di chiudere la falla né risposto all’email di scoperta della falla – stessa cosa è accaduta anche ai colleghi di TechCrunch.

In cosa consiste la falla di sicurezza di Go SMS Pro? Ogniqualvolta un utente invia un messaggio tramite l’applicazione per condividere una foto, un video, un audio messaggio o qualsiasi altro elemento, il suo contenuto viene caricato sul server della compagnia e condiviso tramite link che, volendo, può essere inviato ad un altro utente sprovvisto dell’app che così può però accedere al contenuto del messaggio.

La falla di sicurezza si annida proprio in questo sistema di condivisione del link. Infatti, secondo quanto scoperto dai ricercatori di Trustwave, il link in questione è di tipo sequenziale e non randomico, il che permette ad un malintenzionato di creare un semplice script in grado di prevedere l’indirizzo web e accedere così ad una quantità infinita di materiale condiviso.

Cercando di testare l’ipotesi alla base della scoperta, si è riusciti ad entrare in possesso di foto esplicite, un rapporto di arresto, uno screenshot relativo ad un trasferimento bancario, il numero di telefono di una persona e molto altro.

Nel caso in cui foste utilizzatori dell’applicazione, il nostro consiglio è di smettere immediatamente di utilizzarla e di prendere in considerazione l’idea di sfruttare un altro sistema come Telegram, WhatsApp o, perché no, i messaggi RCS su Google Messaggi.