Android-App mit über 100 Millionen Nutzern leakt private Multimedia-Dateien
Chicago/Frankfurt a.M., 08. Dezember 2020 – Die Sicherheitsforscher des SpiderLabs-Teams von Trustwave haben eine Sicherheitslücke in der populären SMS- und MMS-App GO SMS Pro entdeckt. Durch die Schwachstelle sind zwischen den App-Nutzern übertragene Multimedia-Inhalte öffentlich im Netz zugänglich. Dazu zählen private Sprach- und Videonachrichten sowie Fotos. Bislang hat sich der App-Entwickler nicht zu der Sicherheitslücke geäußert oder diese behoben. Die Sicherheitsforscher entdeckten die Schwachstelle in der Version GO SMS Pro v7.91. Derzeit ist unklar, ob auch weitere Versionen betroffen sind.
Mit der GO SMS Pro-App, die über den Google Play Store erhältlich ist, können Nutzer private Medien versenden. Hat der Empfänger die GO SMS Pro-App auf seinem Gerät installiert, werden die Medien automatisch in der App angezeigt. Ist die App nicht auf dessen Gerät installiert, erhält er die Mediendatei als verkürzte URL per SMS. Per Klick auf den Link kann der Nutzer die Datei im Browser ansehen.
Bug ermöglicht Zugriff auf privat geteilte Multimedia-Inhalte
Die Experten des SpiderLabs-Teams stellten fest, dass der Zugriff auf den Link ohne Authentifizierung oder Autorisierung möglich ist. Somit kann jeder – auch ein unbefugter Dritter -, der über den Link verfügt, die Inhalte einsehen. Darüber hinaus werden die Links nach einem bestimmten Schema generiert.
Durch eine Erweiterung der URL können zudem andere Media-Nachrichten angezeigt oder abgehört werden, die zwischen anderen Nutzern geteilt wurden. Einem Cyberkriminellen ist es ohne viel Aufwand möglich, ein Skript zu schreiben und darüber eine Liste mit URLs für Inhalte von GO-SMS-Pro-Nutzern zu generieren. Indem diese URLs in eine Multi-Tab-Extension in Chrome oder Firefox einfügt werden, ist es trivial, auf private und potenziell sensible Multimedia-Dateien zuzugreifen, die von Benutzern dieser App gesendet wurden.
„Obwohl unsere Experten die Sicherheitslücke direkt nach der Entdeckung im August an den App-Entwickler gemeldet haben, haben wir bislang keine Antwort erhalten. Somit ist diese Sicherheitsanfälligkeit weiterhin vorhanden und stellt ein Risiko für die Nutzer dar“, sagt Richard Tan, Senior Security Consultant SpiderLabs. „Wir empfehlen daher, das Senden von privaten oder sensiblen Mediendateien mit dieser beliebten Messenger-App zu vermeiden, bis sich der Anbieter geäußert und die Sicherheitslücke behoben hat.“
Weitere Informationen sowie erklärendes Bildmaterial erhalten Sie unter https://www.trustwave.com/de-de/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-media-file-theft/.
Trustwave ist ein führender Anbieter von Cybersicherheitslösungen und Managed Security Services mit dem Fokus auf Threat Detection and Response. Der Security-Experte unterstützt weltweit Unternehmen bei der Bekämpfung von Cyberkriminalität, beim Schutz von Daten sowie bei der Minimierung von Sicherheitsrisiken. Mit einem umfassenden Portfolio an Managed Security Services, Security-Tests, Beratung, Technologielösungen und Cybersecurity-Schulungen hilft Trustwave Unternehmen dabei, die digitale Transformation sicher zu meistern. Trustwave ist ein Singtel-Unternehmen und der globale Sicherheitszweig von Singtel, Optus und NCS mit Kunden in 96 Ländern.
Firmenkontakt
Trustwave Germany GmbH
Stephen Andekian
The Squaire 12
60549 Frankfurt am Main
+1 262-443-6704
Sandekian@trustwave.com
https://www.trustwave.com/de-de/
Pressekontakt
Trustwave Germany GmbH
Steve Fiore
The Squaire 12
60549 Frankfurt am Main
+1 312-470-8662
sfiore@trustwave.com
https://www.trustwave.com/de-de/