Categories: MobileMobile Apps

Android-Chat-App mit mehr als 100 Millionen Nutzern gibt private Nachrichten preis

Sicherheitsforscher von Trustwave haben eine schwerwiegende Schwachstelle in der Android-Messaging-App GO SMS Pro entdeckt. Die im Play Store erhältliche Anwendung, die dort auf weltweit mehr als 100 Millionen Installationen kommt, macht Multimedia-Dateien öffentlich zugänglich, die Nutzer privat miteinander geteilt haben. Auslöser ist ein Fehler, der Unbefugten Zugriff auf private Sprachnachrichten, Videos und Fotos gewährt, die über die App verschickt wurden.

Mediendateien lassen sich mit der App auch an Nutzer schicken, die GO SMS Pro nicht verwenden. Sie erhalten einen Link mit einer verkürzten URL, die die Empfänger auf einen Content-Delivery-Network-Server leitet, den die App zum Speichern der Dateien nutzt, wie Bleeping Computer berichtet.

Das Problem ist offenbar, dass diese verkürzten URLs nicht zufällig, sondern sequenziell generiert werden. Das erlaubt es Angreifern, selbst URLs für geteilte Medieninhalte zu erzeugen.

Bleeping Computer ist es nach eigenen Angaben gelungen, den von den Forschern bereits vor drei Monaten entdeckten Bug zu reproduzieren. Die rund zwei Dutzend überprüften Links brachten Fotos von Autos, Screenshots von anderen Nachrichten und Beiträgen auf Facebook, Nacktfotos, Videos, Tonaufzeichnungen und sogar Fotos von vertraulichen Dokumenten ans Tageslicht.

Trustwave geht dem Bericht zufolge sogar davon aus, dass es ohne viel Aufwand möglich ist, ein Skript zu schreiben, mit dem eine Liste mit URLs für Inhalte von GO-SMS-Pro-Nutzern generiert werden kann. „Indem man die generierten URLs nimmt und sie in eine Multi-Tab-Erweiterung auf Chrome oder Firefox einfügt, ist es trivial, auf private (und potenziell sensible) Mediendateien zuzugreifen, die von Benutzern dieser Anwendung gesendet wurden“, erklärten die Forscher.

Inzwischen wurde die Sicherheitslücke von Trustwave nach Ablauf der üblichen 90-Tage-Frist öffentlich gemacht. Der Entwickler von Go SMS Pro habe auf mehrere Kontaktaufnahmen im August, September, Oktober und Anfang November nicht reagiert. Auch E-Mails an die im Play Store angezeigte Gmail-Adresse des Entwicklers blieben unbeantwortet. Inzwischen sei außerdem die Website des Entwicklers nicht mehr erreichbar.

Im Play Store ist die App weiterhin erhältlich. Den Bewertungen zufolge hat die App auch Nutzer in Deutschland, die schon seit zwei Jahren kritisieren, dass sie für die von ihnen gekaufte Vollversion nun zusätzlich Abonnements für bestimmte Funktionen abschließen sollen.

Zuletzt aktualisiert wurde die App demnach am 18. November. Ob das Update die Anfälligkeit beseitigt, ist nicht bekannt.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Roblox: 34 Millionen Zugangsdaten im Darknet

Laut Kaspersky nehmen Infostealer gerade auch Spieleplattformen ins Visier. Neue Studie untersucht Angriffe zwischen 2021…

2 Stunden ago

EU-Datenschützer kritisieren Facebooks „Zustimmung oder Bezahlung“-Modell

Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…

3 Tagen ago

Europol meldet Zerschlagung der Phishing-as-a-Service-Plattform LabHost

LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…

3 Tagen ago

DE-CIX Frankfurt bricht Schallmauer von 17 Terabit Datendurchsatz pro Sekunde

Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.

4 Tagen ago

Samsungs neuer LPDDR5X-DRAM erreicht 10,7 Gbit/s

Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…

4 Tagen ago

Cisco warnt vor massenhaften Brute-Force-Angriffen auf VPNs

Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…

4 Tagen ago