Android-Chat-App mit mehr als 100 Millionen Nutzern gibt private Nachrichten preis

Sicherheitsforscher von Trustwave haben eine schwerwiegende Schwachstelle in der Android-Messaging-App GO SMS Pro entdeckt. Die im Play Store erhältliche Anwendung, die dort auf weltweit mehr als 100 Millionen Installationen kommt, macht Multimedia-Dateien öffentlich zugänglich, die Nutzer privat miteinander geteilt haben. Auslöser ist ein Fehler, der Unbefugten Zugriff auf private Sprachnachrichten, Videos und Fotos gewährt, die über die App verschickt wurden.

Mediendateien lassen sich mit der App auch an Nutzer schicken, die GO SMS Pro nicht verwenden. Sie erhalten einen Link mit einer verkürzten URL, die die Empfänger auf einen Content-Delivery-Network-Server leitet, den die App zum Speichern der Dateien nutzt, wie Bleeping Computer berichtet.

Das Problem ist offenbar, dass diese verkürzten URLs nicht zufällig, sondern sequenziell generiert werden. Das erlaubt es Angreifern, selbst URLs für geteilte Medieninhalte zu erzeugen.

Bleeping Computer ist es nach eigenen Angaben gelungen, den von den Forschern bereits vor drei Monaten entdeckten Bug zu reproduzieren. Die rund zwei Dutzend überprüften Links brachten Fotos von Autos, Screenshots von anderen Nachrichten und Beiträgen auf Facebook, Nacktfotos, Videos, Tonaufzeichnungen und sogar Fotos von vertraulichen Dokumenten ans Tageslicht.

Trustwave geht dem Bericht zufolge sogar davon aus, dass es ohne viel Aufwand möglich ist, ein Skript zu schreiben, mit dem eine Liste mit URLs für Inhalte von GO-SMS-Pro-Nutzern generiert werden kann. „Indem man die generierten URLs nimmt und sie in eine Multi-Tab-Erweiterung auf Chrome oder Firefox einfügt, ist es trivial, auf private (und potenziell sensible) Mediendateien zuzugreifen, die von Benutzern dieser Anwendung gesendet wurden“, erklärten die Forscher.

Inzwischen wurde die Sicherheitslücke von Trustwave nach Ablauf der üblichen 90-Tage-Frist öffentlich gemacht. Der Entwickler von Go SMS Pro habe auf mehrere Kontaktaufnahmen im August, September, Oktober und Anfang November nicht reagiert. Auch E-Mails an die im Play Store angezeigte Gmail-Adresse des Entwicklers blieben unbeantwortet. Inzwischen sei außerdem die Website des Entwicklers nicht mehr erreichbar.

Im Play Store ist die App weiterhin erhältlich. Den Bewertungen zufolge hat die App auch Nutzer in Deutschland, die schon seit zwei Jahren kritisieren, dass sie für die von ihnen gekaufte Vollversion nun zusätzlich Abonnements für bestimmte Funktionen abschließen sollen.

Zuletzt aktualisiert wurde die App demnach am 18. November. Ob das Update die Anfälligkeit beseitigt, ist nicht bekannt.