Schwachstelle in GO SMS Pro-App legt Daten offen

Publiziert am 20. November 2020 von Günter Born

[English]In der GO SMS Pro-App gibt es eine nicht gepatchte Schwachstelle, die dazu führt, dass Sprachnachrichten, Videos oder Fotos, die zwischen Nutzern verschickt werden, öffentlich einsehbar sind.

Anzeige

GO SMS Pro ist eine beliebte Messaging-Anwendung für Android mit mehr als 100 Millionen Installationen. Die App ist beispielsweise im Google Play Store abrufbar.

Go SMS Pro
Quelle: Google Play Store

Die App GO SMS Pro ermöglicht es Benutzern, wie andere Messenger-Anwendungen auch, private Medien (Fotos, Videos, Sprachnachrichten) an andere Benutzer zu senden. Hat der Empfänger die GO SMS Pro-App auf seinem Gerät installiert, erscheinen die versandten Medien automatisch innerhalb der App.

Go SMS Pro
Quelle: Trustwave

Wenn der Empfänger die GO SMS Pro-Anwendung jedoch nicht installiert hat, wird die Mediendatei als URL per SMS an den Empfänger gesendet. Der Benutzer könnte dann auf den Link klicken und die Mediendatei über einen Browser anzeigen. Der Sicherheitsforscher Richard Tan von Trustwave hat eine Schwachstelle in GO SMS Pro v7.91 gefunden und das Ganze in diesem Blog-Beitrag offen gelegt.

Er hat nämlich festgestellt, dass der Zugriff auf den Link ohne jegliche Authentifizierung oder Autorisierung möglich ist. Das bedeutet, dass jeder Benutzer mit dem Link den Inhalt anzeigen kann. Darüber hinaus war der URL-Link sequentiell (hexadezimal) und vorhersehbar. Zudem wird bei der gemeinsamen Nutzung von Mediendateien ein Link generiert, unabhängig davon, bei welchem Empfänger die Anwendung installiert ist.

Infolgedessen könnte ein böswilliger Benutzer potenziell auf alle Mediendateien zugreifen, die über diesen Dienst gesendet werden, und auch auf alle, die in Zukunft gesendet werden. Dies hat natürlich Auswirkungen auf die Vertraulichkeit von Medieninhalten, die über diese Anwendung gesendet werden. Sämtliche Medien wie private Sprachnachrichten, Videonachrichten und Fotos, die zwischen Benutzern per App übertragen werden, sind dadurch öffentlich und damit für Unbefugte zugänglich. Das bedeutet, dass alle sensiblen Medien, die zwischen Benutzern dieser Messenger-App ausgetauscht werden, Gefahr laufen, von einem nicht authentifizierten Angreifer oder neugierigen Benutzer kompromittiert zu werden.

Unklar ist, welche anderen Versionen der App noch tangiert sind. Die Sicherheitsforscher von Trustwave glauben, dass dies wahrscheinlich auch frühere und möglicherweise zukünftige Versionen der App betreffen wird. Der Sicherheitsforscher hat den App-Entwickler am 18. August 2020 kontaktiert, aber keine Antwort erhalten. Nach weiteren erfolglosen Kontaktversuchen hat er die Schwachstelle jetzt öffentlich gemacht und das Ganze The Hacker News mitgeteilt.

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.