Android-Anwendung GO SMS Pro: Schwachstelle macht Medieninhalte für jedermann zugänglich.

0

URLs nach immer dem gleichen Schema
Zuvor durchgesickerte Daten immer noch verfügbar

Die Instant-Messaging-App GO SMS PRO für Android weist eine Schwachstelle auf, die in bestimmten Fällen versendete Sprachnachrichten, Videos und Fotos für jedermann zugänglich macht.

Es genügt, einfach auszuführende URLs in das Adressfeld eines beliebigen Webbrowsers einzugeben.

Durch Versuch und Irrtum können Angreifer über eine Instant-Messaging-Anwendung gesendete Dateien permanent abrufen – und das ist bereits geschehen, warnen Forscher.

Obwohl die Sicherheitsforscher von Trustwave das Problem vor knapp zwei Wochen öffentlich gemacht haben, bestehen zumindest einige Teile des Problems weiter.

Jetzt haben die Forscher ihre Warnung an die Nutzer der App, die laut Beschreibung millionenfach im Google Play Store heruntergeladen wurde, erneuert: Die Lücke wird aktiv ausgenutzt.

Die Nutzer sollten davon absehen, (vertrauliche) Daten hochzuladen und eine vollständige Deinstallation der App in Erwägung ziehen.

Durch einfaches Inkrementieren der Zahlen-Buchstaben-Kombination (oder durch Manipulation auf andere Weise) können Nutzer auf Inhalte anderer Nutzer zugreifen.

Nicht gezielt, sondern durch Versuch und Irrtum – und automatisiert durch geeignete Skripte.

Voraussetzung für die Verwundbarkeit hochgeladener Inhalte ist also, dass ein solcher Link generiert wurde.

http://g*.

3*.

**/D/Kombination aus Zahlen und Buchstaben/w.

Diese dynamisch generierten URLs haben immer die gleiche Struktur, die wir an dieser Stelle ein wenig verfremdet haben, um den Testprozess nicht weiter zu befeuern:

Der ursprüngliche Blog-Eintrag des Trustwave-Teams vom 19.

November erklärt die Schwachstelle.

Wenn ein App-Benutzer Medieninhalte an einen anderen App-Benutzer sendet, sieht dieser sie direkt in der App.

Wenn der Empfänger der Inhalte die App jedoch nicht nutzt, enthält sie stattdessen eine SMS mit einem Link zu dem Server, auf dem die Inhalte zentral gespeichert sind.

Nach Angaben des Teams hatten die Entwickler der App am 19. September die App entwickelt.

Allerdings haben die Entwickler auf mehrere Versuche, sie zu kontaktieren, noch nicht geantwortet.

Stattdessen wurden weitere Versionen der App (die jüngste vom 23.

23. November) veröffentlicht worden.

Darüber hinaus hat Google die App zwischenzeitlich für einige Tage aus dem Store verbannt, sie aber am 23. November veröffentlicht.

Sie wurde jedoch am 23. November wieder aufgenommen.

Auch die aktuelle GO SMS PRO Version 7.

94 ist laut dem neuen Blog-Eintrag von Trustwave ebenfalls anfällig.

Ursprünglich hatten die Forscher die Schwachstelle in Version 7 gefunden.

91 aufwärts gefunden; sie halten es jedoch für sehr wahrscheinlich, dass das Problem bereits in früheren Ausgaben bestand.

Trustwave hatte bereits ein Beispielskript in den ursprünglichen Blog-Eintrag aufgenommen.

Seitdem sind dem Team weitere Tools und Skripte zu diesem Zweck auf verschiedenen Plattformen aufgefallen, und Bilder, die vom GO SMS PRO-Server heruntergeladen wurden, zirkulieren wahrscheinlich bereits in Untergrundforen.

Dazu gehören freizügige Bilder, Fotos von Führerscheinen, Krankenversicherungskarten usw.

und verschiedene vertrauliche Dokumente.

Aktualisierung 01.

12.

20, 18:55: Inhaltsergänzung für Schwachstelle (generierter Link als Voraussetzung).

Anscheinend sind die Entwickler nach Angaben des Trustwave-Teams dabei, das Problem zu beheben.

In Version 7.

93 war das Versenden von Medieninhalten wahrscheinlich nicht möglich, und die Funktion funktioniert nicht mehr richtig; in jedem Fall werden dem Empfänger keine gültigen Links mehr angezeigt.

Es ist unklar, ob diese noch im Hintergrund generiert werden.

In jedem Fall können aber alle in der Vergangenheit hochgeladenen Inhalte, für die Links generiert wurden, auf die gleiche Weise abgerufen werden – völlig unabhängig von früheren Reparaturversuchen.

..

Share.

Leave A Reply