Anzeige

App GO SMS Pro

Quelle: Sharaf Maksumov / Shutterstock.com

Trustwave hat eine schwerwiegende Sicherheitslücke in der beliebten SMS- und MMS-App GO SMS Pro, mit über 100 Millionen Nutzern, entdeckt. Durch die Schwachstelle sind zwischen den Android-App-Nutzern übertragene Multimedia-Inhalte öffentlich im Netz zugänglich.

Dazu zählen private Sprach- und Videonachrichten sowie Fotos. Bislang hat sich der App-Entwickler nicht zu der Sicherheitslücke geäußert oder diese behoben. Die Sicherheitsforscher entdeckten die Schwachstelle in der Version GO SMS Pro v7.91. Derzeit ist unklar, ob auch weitere Versionen betroffen sind.

Mit der GO SMS Pro-App, die über den Google Play Store erhältlich ist, können Nutzer private Medien versenden. Hat der Empfänger die GO SMS Pro-App auf seinem Gerät installiert, werden die Medien automatisch in der App angezeigt. Ist die App nicht auf dessen Gerät installiert, erhält er die Mediendatei als verkürzte URL per SMS. Per Klick auf den Link kann der Nutzer die Datei im Browser ansehen.

Bug ermöglicht Zugriff auf privat geteilte Multimedia-Inhalte

Die Experten des SpiderLabs-Teams stellten fest, dass der Zugriff auf den Link ohne Authentifizierung oder Autorisierung möglich ist. Somit kann jeder – auch ein unbefugter Dritter –, der über den Link verfügt, die Inhalte einsehen. Darüber hinaus werden die Links nach einem bestimmten Schema generiert.

Durch eine Erweiterung der URL können zudem andere Media-Nachrichten angezeigt oder abgehört werden, die zwischen anderen Nutzern geteilt wurden. Einem Cyberkriminellen ist es ohne viel Aufwand möglich, ein Skript zu schreiben und darüber eine Liste mit URLs für Inhalte von GO-SMS-Pro-Nutzern zu generieren. Indem diese URLs in eine Multi-Tab-Extension in Chrome oder Firefox einfügt werden, ist es trivial, auf private und potenziell sensible Multimedia-Dateien zuzugreifen, die von Benutzern dieser App gesendet wurden.

„Obwohl unsere Experten die Sicherheitslücke direkt nach der Entdeckung im August an den App-Entwickler gemeldet haben, haben wir bislang keine Antwort erhalten. Somit ist diese Sicherheitsanfälligkeit weiterhin vorhanden und stellt ein Risiko für die Nutzer dar“, sagt Richard Tan, Senior Security Consultant SpiderLabs. „Wir empfehlen daher, das Senden von privaten oder sensiblen Mediendateien mit dieser beliebten Messenger-App zu vermeiden, bis sich der Anbieter geäußert und die Sicherheitslücke behoben hat.“

www.trustwave.com/de-de/
 


Weitere Artikel

RIP Grabstein

Best of Hacks: Highlights August 2021

Im August 2021 haben Cyberkriminelle bei PolyNetwork und Liquid gezielt Kryptowährungen erbeutet. Personenbezogene Daten wurden unter anderem vom Terrorist Screening Center des FBI und von Journalistinnen und Aktivistinnen im Nahen Osten erbeutet.
Kamera - Sicherheit

Alle sollen sich viel mehr um IT-Sicherheit kümmern

Nach Cyberangriffen wird im Nordosten nur in wenigen Fällen Lösegeld gezahlt. Bis auf einen Fall sei ihm bisher kein Unternehmen oder eine Verwaltung bekannt, die in diesem Jahr Lösegeld gezahlt hätte, sagte der Rostocker Oberstaatsanwalt Harald Nowack am…
Impfzertifikat

Das Geschäft mit gefälschten digitalen Impfzertifikaten

Die gefälschten digitalen Impfzertifikate, die derzeit mit gültigen Signaturen im Internet kursieren, könnten nach Einschätzung von Experten auf Sicherheitslücken in Arztpraxen oder Apotheken zurückzuführen sein.
Browser

Browsing: Nutzer besuchen nur 30 Websites

Trotz Millionen Websites verbringt ein Großteil der Nutzer seine Zeit auf gerade einmal einem Prozent der Top-Internetadressen.
Retoure

Onlinehändler erhalten jede siebte Bestellung zurück

Sie sorgen für mehr Verpackungsmüll, zusätzliche Kosten und belasten die Umwelt: Retouren beim Online-Shopping.
Google

Google löscht Bilder von Minderjährigen

Google löscht auf Wunsch bereits veröffentlichte Bilder von Minderjährigen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.