Anzeige

App GO SMS Pro

Quelle: Sharaf Maksumov / Shutterstock.com

Trustwave hat eine schwerwiegende Sicherheitslücke in der beliebten SMS- und MMS-App GO SMS Pro, mit über 100 Millionen Nutzern, entdeckt. Durch die Schwachstelle sind zwischen den Android-App-Nutzern übertragene Multimedia-Inhalte öffentlich im Netz zugänglich.

Dazu zählen private Sprach- und Videonachrichten sowie Fotos. Bislang hat sich der App-Entwickler nicht zu der Sicherheitslücke geäußert oder diese behoben. Die Sicherheitsforscher entdeckten die Schwachstelle in der Version GO SMS Pro v7.91. Derzeit ist unklar, ob auch weitere Versionen betroffen sind.

Mit der GO SMS Pro-App, die über den Google Play Store erhältlich ist, können Nutzer private Medien versenden. Hat der Empfänger die GO SMS Pro-App auf seinem Gerät installiert, werden die Medien automatisch in der App angezeigt. Ist die App nicht auf dessen Gerät installiert, erhält er die Mediendatei als verkürzte URL per SMS. Per Klick auf den Link kann der Nutzer die Datei im Browser ansehen.

Bug ermöglicht Zugriff auf privat geteilte Multimedia-Inhalte

Die Experten des SpiderLabs-Teams stellten fest, dass der Zugriff auf den Link ohne Authentifizierung oder Autorisierung möglich ist. Somit kann jeder – auch ein unbefugter Dritter –, der über den Link verfügt, die Inhalte einsehen. Darüber hinaus werden die Links nach einem bestimmten Schema generiert.

Durch eine Erweiterung der URL können zudem andere Media-Nachrichten angezeigt oder abgehört werden, die zwischen anderen Nutzern geteilt wurden. Einem Cyberkriminellen ist es ohne viel Aufwand möglich, ein Skript zu schreiben und darüber eine Liste mit URLs für Inhalte von GO-SMS-Pro-Nutzern zu generieren. Indem diese URLs in eine Multi-Tab-Extension in Chrome oder Firefox einfügt werden, ist es trivial, auf private und potenziell sensible Multimedia-Dateien zuzugreifen, die von Benutzern dieser App gesendet wurden.

„Obwohl unsere Experten die Sicherheitslücke direkt nach der Entdeckung im August an den App-Entwickler gemeldet haben, haben wir bislang keine Antwort erhalten. Somit ist diese Sicherheitsanfälligkeit weiterhin vorhanden und stellt ein Risiko für die Nutzer dar“, sagt Richard Tan, Senior Security Consultant SpiderLabs. „Wir empfehlen daher, das Senden von privaten oder sensiblen Mediendateien mit dieser beliebten Messenger-App zu vermeiden, bis sich der Anbieter geäußert und die Sicherheitslücke behoben hat.“

www.trustwave.com/de-de/
 


Weitere Artikel

Chatbot

Virtuelle Assistenten innerhalb von 72 Stunden einsatzbereit

USU unterstützt Unternehmen künftig durch eine sofort einsetzbare Lösung: Mit dem neuen Quickstart-Angebot profitieren Kunden durch den wirtschaftlichen Produktiv-Einsatz von Chatbots bereits nach 72 Stunden von den Vorteilen intelligenter virtueller…
Verständnis

Bitkom zum Gutachten zur Lage der Verbraucherinnen und Verbraucher

Heute hat der Sachverständigenrat für Verbraucherfragen sein Gutachten zur Lage der Verbraucherinnen und Verbraucher in Deutschland vorgestellt.
Fußabdruck

Frühjahrsputz: Den digitalen Fußabdruck verkleinern

Der Alltag wird immer digitaler, das Internet ist ein fester Bestandteil des Lebens. Menschen hinterlassen dabei viele digitale Fußabdrücke.
Cyber Security

Secure Code – Risiken erkennen, lokalisieren, beheben

Die Potenziale der fortschreitenden Digitalisierung werden parallel durch ein zunehmendes Ausmaß an Schäden aufgrund von Cyberkriminalität bedroht.

Apple Event "Spring Loaded" - was erwartet uns?

Apple stellt neue Produkte wegen der Corona-Pandemie wieder nur bei einem Online-Event vor. Erwartet wird nach Medienberichten am Dienstag (ab 19.00 Uhr MESZ) vor allem ein neues Modell des Tablet-Computers iPad Pro.
Justitia

Das neue Telekommunikationsgesetz wird zur Ausbaubremse

Der Bundestag will in dieser Woche die Novelle des Telekommunikationsgesetztes (TKG) beschließen. Zum aktuellen Gesetzesvorschlag erklärt Bitkom-Präsident Achim Berg:

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.