Google Quickshare: Sicherheitslücke ermöglicht ungefragtes Senden von Dateien
Googles Quickshare, auch als Nearby Share bekannt, kann Angreifern ungefragt Daten an Windows-Rechner schicken lassen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Google warnt vor zwei Sicherheitslücken in Quickshare/Nearby Share. Betroffen sind sowohl die Android- als auch die Windows-Version der Software. Angreifer können dadurch ohne Rückfrage Daten senden, die zweite Lücke ermöglicht bösartigen Akteuren, in eine Man-in-the-Middle-Position zu gelangen. Aktualisierte Software ist vorhanden, das Update lässt sich jedoch nicht erzwingen.
Eine Schwachstelle in Quickshare/Nearby Share ermöglicht Angreifern, den Datei-Annehmen-Dialog in Quickshare für Windows zu umgehen. Normalerweise ist es nicht möglich, eine Datei ohne Nutzerbestätigung zu senden, wenn die Sichtbarkeit auf die Modi "Von allen empfangen" oder auf "Von Kontakten empfangen"gesetzt ist (CVE-2024-38272, CVSS 7.1, Risiko "hoch"), schreibt Google in dem zugehörigen CVE-Eintrag.
Zwei Sicherheitslücken gefährden Quickshare/Nearby Share
Quickshare versucht unter anderem, für den schnellen Datentransfer einen temporären WLAN-Hotspot aufzubauen. Durch eine Schwachstelle können bösartige Akteure provozieren, dass Opfer mit dem temporären Hotspot verbunden bleiben. "Als Teil der Paketsequenz einer Quickshare-Verbindung über Bluetooth, zwingen Angreifer Opfer dazu, auf das WLAN-Netzwerk des Angreifers zu verbinden. Dann senden sie einen OfflineFrame, der zum Absturz von Quickshare führt", erklären Googles Entwickler den Angriff in der Sicherheitswarnung. Dadurch bleibt die Verbindung in das WLAN-Netzwerk der Angreifer bestehen, anstatt zum vorherigen Netzwerk zurückzukehren. Angreifer können sich so in eine Man-in-the-Middle-Position bringen und den Netzwerkverkehr ausforschen (CVE-2024-38271, CVSS 5.9, mittel).
In den CVE-Einträgen gibt Google an, dass die Version 1.0.1724.0 von Quickshare die Sicherheitslücken schließt. Die Fassung taucht auch in der Liste mit den Änderungen in den einzelnen Versionen von Google bereits auf. Auf der Download-Seite für Quickshare lässt sich ein Online-Installer herunterladen. Der ersetzt die aktuell installierte Variante unter Windows – in unserem Test bleibt es jedoch bei der verwundbaren Version 1.0.1637.0. Eine Aktualisierung auf die neue Version mit den Sicherheitskorrekturen lässt sich offenbar nicht erzwingen.
Bis das Update automatisch auf dem Rechner und den Smartphones gelangt ist, sollten Quickshare-Nutzer also Vorsicht walten lassen und nach Dateitransfers zumindest prüfen, ob sie sich noch im gewollten WLAN befinden. Außerdem kann ein Blick in den eingestellten Download-Ordner nicht schaden, ob dort unerwartete Dateien liegen – diese sollten unbesehen gelöscht werden, da sie bei erfolgreichem Angriff etwa Malware enthalten könnten. Zudem hilft das Umstellen der erlaubten Sender auf "Niemand" bei Nicht-Nutzung, Angriffe zu unterbinden, da laut Google lediglich die Optionen "Alle" oder "Kontakte" die Lücke aufreißen.
Googles Quickshare, das zunächst Nearby Share hieß, verließ im Juli vergangenen Jahres die Beta-Phase für die Windows-App und stellt eine Variante dessen dar, was Apple mit Airdrop im Angebot hat: Eine einfache und performante Möglichkeit, Daten zwischen Geräten wie Smartphones und Computern auszutauschen.
(dmk)