Trustwave entdeckt schwerwiegende Sicherheitslücke in Messaging-App GO SMS Pro
Android-App mit ?ber 100 Millionen Nutzern leakt private Multimedia-Dateien
Chicago/Frankfurt a.M., 08. Dezember 2020 – Die Sicherheitsforscher des SpiderLabs-Teams von Trustwave haben eine Sicherheitsl?cke in der popul?ren SMS- und MMS-App GO SMS Pro entdeckt. Durch die Schwachstelle sind zwischen den App-Nutzern ?bertragene Multimedia-Inhalte ?ffentlich im Netz zug?nglich. Dazu z?hlen private Sprach- und Videonachrichten sowie Fotos. Bislang hat sich der App-Entwickler nicht zu der Sicherheitsl?cke ge?u?ert oder diese behoben. Die Sicherheitsforscher entdeckten die Schwachstelle in der Version GO SMS Pro v7.91. Derzeit ist unklar, ob auch weitere Versionen betroffen sind.
Mit der GO SMS Pro-App, die ?ber den Google Play Store erh?ltlich ist, k?nnen Nutzer private Medien versenden. Hat der Empf?nger die GO SMS Pro-App auf seinem Ger?t installiert, werden die Medien automatisch in der App angezeigt. Ist die App nicht auf dessen Ger?t installiert, erh?lt er die Mediendatei als verk?rzte URL per SMS. Per Klick auf den Link kann der Nutzer die Datei im Browser ansehen.
Bug erm?glicht Zugriff auf privat geteilte Multimedia-Inhalte
Die Experten des SpiderLabs-Teams stellten fest, dass der Zugriff auf den Link ohne Authentifizierung oder Autorisierung m?glich ist. Somit kann jeder – auch ein unbefugter Dritter -, der ?ber den Link verf?gt, die Inhalte einsehen. Dar?ber hinaus werden die Links nach einem bestimmten Schema generiert.
Durch eine Erweiterung der URL k?nnen zudem andere Media-Nachrichten angezeigt oder abgeh?rt werden, die zwischen anderen Nutzern geteilt wurden. Einem Cyberkriminellen ist es ohne viel Aufwand m?glich, ein Skript zu schreiben und dar?ber eine Liste mit URLs f?r Inhalte von GO-SMS-Pro-Nutzern zu generieren. Indem diese URLs in eine Multi-Tab-Extension in Chrome oder Firefox einf?gt werden, ist es trivial, auf private und potenziell sensible Multimedia-Dateien zuzugreifen, die von Benutzern dieser App gesendet wurden.
“Obwohl unsere Experten die Sicherheitsl?cke direkt nach der Entdeckung im August an den App-Entwickler gemeldet haben, haben wir bislang keine Antwort erhalten. Somit ist diese Sicherheitsanf?lligkeit weiterhin vorhanden und stellt ein Risiko f?r die Nutzer dar”, sagt Richard Tan, Senior Security Consultant SpiderLabs. “Wir empfehlen daher, das Senden von privaten oder sensiblen Mediendateien mit dieser beliebten Messenger-App zu vermeiden, bis sich der Anbieter ge?u?ert und die Sicherheitsl?cke behoben hat.”
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Sofern Sie Ihre Datenschutzeinstellungen ändern möchten z.B. Erteilung von Einwilligungen, Widerruf bereits erteilter Einwilligungen klicken Sie auf nachfolgenden Button.
Einstellungen