Sicherheitsforscher von Trustwave haben eine schwerwiegende Schwachstelle in der Android-Messaging-App GO SMS Pro entdeckt. Die im Play Store erhältliche Anwendung, die dort auf weltweit mehr als 100 Millionen Installationen kommt, macht Multimedia-Dateien öffentlich zugänglich, die Nutzer privat miteinander geteilt haben. Auslöser ist ein Fehler, der Unbefugten Zugriff auf private Sprachnachrichten, Videos und Fotos gewährt, die über die App verschickt wurden.
Das Problem ist offenbar, dass diese verkürzten URLs nicht zufällig, sondern sequenziell generiert werden. Das erlaubt es Angreifern, selbst URLs für geteilte Medieninhalte zu erzeugen.
Bleeping Computer ist es nach eigenen Angaben gelungen, den von den Forschern bereits vor drei Monaten entdeckten Bug zu reproduzieren. Die rund zwei Dutzend überprüften Links brachten Fotos von Autos, Screenshots von anderen Nachrichten und Beiträgen auf Facebook, Nacktfotos, Videos, Tonaufzeichnungen und sogar Fotos von vertraulichen Dokumenten ans Tageslicht.
Trustwave geht dem Bericht zufolge sogar davon aus, dass es ohne viel Aufwand möglich ist, ein Skript zu schreiben, mit dem eine Liste mit URLs für Inhalte von GO-SMS-Pro-Nutzern generiert werden kann. „Indem man die generierten URLs nimmt und sie in eine Multi-Tab-Erweiterung auf Chrome oder Firefox einfügt, ist es trivial, auf private (und potenziell sensible) Mediendateien zuzugreifen, die von Benutzern dieser Anwendung gesendet wurden“, erklärten die Forscher.
Inzwischen wurde die Sicherheitslücke von Trustwave nach Ablauf der üblichen 90-Tage-Frist öffentlich gemacht. Der Entwickler von Go SMS Pro habe auf mehrere Kontaktaufnahmen im August, September, Oktober und Anfang November nicht reagiert. Auch E-Mails an die im Play Store angezeigte Gmail-Adresse des Entwicklers blieben unbeantwortet. Inzwischen sei außerdem die Website des Entwicklers nicht mehr erreichbar.
Im Play Store ist die App weiterhin erhältlich. Den Bewertungen zufolge hat die App auch Nutzer in Deutschland, die schon seit zwei Jahren kritisieren, dass sie für die von ihnen gekaufte Vollversion nun zusätzlich Abonnements für bestimmte Funktionen abschließen sollen.
Zuletzt aktualisiert wurde die App demnach am 18. November. Ob das Update die Anfälligkeit beseitigt, ist nicht bekannt.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
