Categories: MobileMobile Apps

Android-Chat-App mit mehr als 100 Millionen Nutzern gibt private Nachrichten preis

Sicherheitsforscher von Trustwave haben eine schwerwiegende Schwachstelle in der Android-Messaging-App GO SMS Pro entdeckt. Die im Play Store erhältliche Anwendung, die dort auf weltweit mehr als 100 Millionen Installationen kommt, macht Multimedia-Dateien öffentlich zugänglich, die Nutzer privat miteinander geteilt haben. Auslöser ist ein Fehler, der Unbefugten Zugriff auf private Sprachnachrichten, Videos und Fotos gewährt, die über die App verschickt wurden.

Mediendateien lassen sich mit der App auch an Nutzer schicken, die GO SMS Pro nicht verwenden. Sie erhalten einen Link mit einer verkürzten URL, die die Empfänger auf einen Content-Delivery-Network-Server leitet, den die App zum Speichern der Dateien nutzt, wie Bleeping Computer berichtet.

Das Problem ist offenbar, dass diese verkürzten URLs nicht zufällig, sondern sequenziell generiert werden. Das erlaubt es Angreifern, selbst URLs für geteilte Medieninhalte zu erzeugen.

Bleeping Computer ist es nach eigenen Angaben gelungen, den von den Forschern bereits vor drei Monaten entdeckten Bug zu reproduzieren. Die rund zwei Dutzend überprüften Links brachten Fotos von Autos, Screenshots von anderen Nachrichten und Beiträgen auf Facebook, Nacktfotos, Videos, Tonaufzeichnungen und sogar Fotos von vertraulichen Dokumenten ans Tageslicht.

Trustwave geht dem Bericht zufolge sogar davon aus, dass es ohne viel Aufwand möglich ist, ein Skript zu schreiben, mit dem eine Liste mit URLs für Inhalte von GO-SMS-Pro-Nutzern generiert werden kann. „Indem man die generierten URLs nimmt und sie in eine Multi-Tab-Erweiterung auf Chrome oder Firefox einfügt, ist es trivial, auf private (und potenziell sensible) Mediendateien zuzugreifen, die von Benutzern dieser Anwendung gesendet wurden“, erklärten die Forscher.

Inzwischen wurde die Sicherheitslücke von Trustwave nach Ablauf der üblichen 90-Tage-Frist öffentlich gemacht. Der Entwickler von Go SMS Pro habe auf mehrere Kontaktaufnahmen im August, September, Oktober und Anfang November nicht reagiert. Auch E-Mails an die im Play Store angezeigte Gmail-Adresse des Entwicklers blieben unbeantwortet. Inzwischen sei außerdem die Website des Entwicklers nicht mehr erreichbar.

Im Play Store ist die App weiterhin erhältlich. Den Bewertungen zufolge hat die App auch Nutzer in Deutschland, die schon seit zwei Jahren kritisieren, dass sie für die von ihnen gekaufte Vollversion nun zusätzlich Abonnements für bestimmte Funktionen abschließen sollen.

Zuletzt aktualisiert wurde die App demnach am 18. November. Ob das Update die Anfälligkeit beseitigt, ist nicht bekannt.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago