Categories: MobileMobile Apps

Android-Chat-App mit mehr als 100 Millionen Nutzern gibt private Nachrichten preis

Sicherheitsforscher von Trustwave haben eine schwerwiegende Schwachstelle in der Android-Messaging-App GO SMS Pro entdeckt. Die im Play Store erhältliche Anwendung, die dort auf weltweit mehr als 100 Millionen Installationen kommt, macht Multimedia-Dateien öffentlich zugänglich, die Nutzer privat miteinander geteilt haben. Auslöser ist ein Fehler, der Unbefugten Zugriff auf private Sprachnachrichten, Videos und Fotos gewährt, die über die App verschickt wurden.

Mediendateien lassen sich mit der App auch an Nutzer schicken, die GO SMS Pro nicht verwenden. Sie erhalten einen Link mit einer verkürzten URL, die die Empfänger auf einen Content-Delivery-Network-Server leitet, den die App zum Speichern der Dateien nutzt, wie Bleeping Computer berichtet.

Das Problem ist offenbar, dass diese verkürzten URLs nicht zufällig, sondern sequenziell generiert werden. Das erlaubt es Angreifern, selbst URLs für geteilte Medieninhalte zu erzeugen.

Bleeping Computer ist es nach eigenen Angaben gelungen, den von den Forschern bereits vor drei Monaten entdeckten Bug zu reproduzieren. Die rund zwei Dutzend überprüften Links brachten Fotos von Autos, Screenshots von anderen Nachrichten und Beiträgen auf Facebook, Nacktfotos, Videos, Tonaufzeichnungen und sogar Fotos von vertraulichen Dokumenten ans Tageslicht.

Trustwave geht dem Bericht zufolge sogar davon aus, dass es ohne viel Aufwand möglich ist, ein Skript zu schreiben, mit dem eine Liste mit URLs für Inhalte von GO-SMS-Pro-Nutzern generiert werden kann. „Indem man die generierten URLs nimmt und sie in eine Multi-Tab-Erweiterung auf Chrome oder Firefox einfügt, ist es trivial, auf private (und potenziell sensible) Mediendateien zuzugreifen, die von Benutzern dieser Anwendung gesendet wurden“, erklärten die Forscher.

Inzwischen wurde die Sicherheitslücke von Trustwave nach Ablauf der üblichen 90-Tage-Frist öffentlich gemacht. Der Entwickler von Go SMS Pro habe auf mehrere Kontaktaufnahmen im August, September, Oktober und Anfang November nicht reagiert. Auch E-Mails an die im Play Store angezeigte Gmail-Adresse des Entwicklers blieben unbeantwortet. Inzwischen sei außerdem die Website des Entwicklers nicht mehr erreichbar.

Im Play Store ist die App weiterhin erhältlich. Den Bewertungen zufolge hat die App auch Nutzer in Deutschland, die schon seit zwei Jahren kritisieren, dass sie für die von ihnen gekaufte Vollversion nun zusätzlich Abonnements für bestimmte Funktionen abschließen sollen.

Zuletzt aktualisiert wurde die App demnach am 18. November. Ob das Update die Anfälligkeit beseitigt, ist nicht bekannt.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

7 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago