All’ombra di WhatsApp, sono davvero tante le applicazioni di messaggistica istantanea che, anche con meccanismi di funzionamento diversi, sono ritagliate il proprio bacino di fedelissimi, come nel caso di Go SMS Pro del cinese GO Dev Team che, però, secondo un’analisi piuttosto recente in tema di sicurezza informatica, sarebbe ben lungi dal poter essere definita come sicura e attenta alla privacy.
Era il 18 Agosto scorso quando il team di ricerca (SpiderLabs) della security house statunitense Trustwave Holdings analizzò l’applicazione GO SMS Pro che, scaricata più di 100 milioni di volte dal Play Store di Android, viene sovente adoperata per scambiare testi, video, messaggi, anche audio, e molto altro, con il beneficio che, al destinatario qualora sprovvisto dell’app, viene inviato un collegamento web, consultabile con un normale browser mobile.
Il problema è che il collegamento in questione, che porta ai dati stoccati sui server del GO Dev Team, non è sottoposto ad autenticazione, né richiedono alcuna forma di autorizzazione all’accesso: in più, non è generato in modo casuale, ma secondo una prassi sequenziale, con la conseguenza che un hacker, munito di un semplice script ad hoc, avrebbe potuto tranquillamente indovinare gli url già generati, e prevedere quelli futuri, accedendo alle conseguenti risorse associate.
TechCrunch, a tal proposito, ha condotto un proprio test in merito, venendo persino in possesso di foto esplicite, delle prove di un arresto, di una ricevuta d’acquisto con l’indirizzo del destinatario, della schermata di un bonifico effettuato, e di un numero di telefono. A questo punto, è partita – da parte di Trustwave – la segnalazione agli sviluppatori dell’app che, in 90 giorni, non hanno risposto (neppure a TechCrunch), né rilasciato una versione patchata dell’app.
Di conseguenza, Trustwave ha potuto divulgare (tramite un post del ricercatore Richard Tan) la falla di sicurezza in questione, onde mettere in guardia gli utenti, ai quali viene fatta la raccomandazione di disinstallare l’app Go SMS Pro o, comunque, di non avvalersene fintantoché gli sviluppatori ad essa associati non avranno trovato tempo e modo di rimediare a quanto emerso.