Android-App GO SMS Pro: Schwachstelle macht Medieninhalte für jeden abrufbar
Durch Ausprobieren können Angreifer über eine Instant-Messaging-App verschickte Dateien dauerhaft abrufen – und das sei auch schon passiert, warnen Forscher.
Die Instant-Messaging-App GO SMS PRO für Android weist eine Schwachstelle auf, die verschickte Sprachnachrichten, Videos und Fotos in bestimmten Fällen für jedermann abrufbar macht. Dazu ist lediglich die Eingabe leicht zu erratender URLs in das Adressfeld eines beliebigen Webbrowsers nötig.
Obwohl Sicherheitsforscher von Trustwave das Problem schon vor knapp zwei Wochen publik machten, besteht es mindestens in Teilen weiterhin. Nun erneuerten die Forscher ihren Warnhinweis an Nutzer der App, die laut Beschreibung im Google Play Store millionenfach heruntergeladen wurde: Die Lücke werde aktiv ausgenutzt. Nutzer sollten auf das Hochladen (vertraulicher) Daten verzichten und darüber hinaus erwägen, die App komplett zu deinstallieren.
URLs nach immer gleichem Schema
Der ursprüngliche Blogeintrag des Trustwave-Teams vom 19. November erläutert die Schwachstelle. Sendet ein App-Nutzer Medieninhalte an einen anderen App-Nutzer, so sieht dieser sie direkt in der App. Nutzt der Empfänger der Inhalte die App hingegen nicht, enthält er stattdessen eine SMS mit einem Link zu dem Server, auf dem die Inhalte zentral gespeichert werden.
Diese dynamisch generierten URLs weisen immer dieselbe Struktur auf, die wir an dieser Stelle ein wenig verfremdet haben, um das Durchtesten nicht noch weiter zu befeuern:
http://g*.3*.**/D/Kombination aus Zahlen und Buchstaben/w.
Inkrementiert man nun einfach die Zahlen-Buchstaben-Kombination (oder manipuliert sie anderweitig), kann man auf Inhalte anderer Nutzer zugreifen. Nicht gezielt, aber eben durch Ausprobieren – und mittels geeigneter Skripte auch automatisiert. Voraussetzung für die Angreifbarkeit hochgeladener Inhalte ist also, dass ein solcher Link generiert wurde.
Trustwave hatte bereits im ursprünglichen Blogeintrag ein Beispiel-Skript aufgeführt. Seitdem hat das Team auf verschiedenen Plattformen weitere Tools und Skripte zu diesem Zweck bemerkt; auch kursieren in Untergrundforen wohl bereits Bilder, die vom GO SMS PRO-Server heruntergeladen wurden. Dazu zählen etwa freizügige Bilder, Fotos von Führerscheinen, Krankenkassenkarten und Co. sowie von diversen vertraulichen Dokumenten.
Bislang geleakte Daten weiterhin abrufbar
Auch die aktuelle GO SMS PRO-Version 7.94 sei verwundbar, heißt es in Trustwaves neuem Blogeintrag. Ursprünglich hatten die Forscher die Schwachstelle in Version 7.91 aufwärts entdeckt; sie halten es aber für sehr wahrscheinlich, dass das Problem schon in früheren Ausgaben bestand.
Das Team hatte die Entwickler der App nach eigenen Angaben am 19. November über die Schwachstelle in Kenntnis gesetzt; diese hätten aber auf mehrere Versuche der Kontaktaufnahme bis heute nicht reagiert. Stattdessen seien weitere App-Versionen (die aktuellste am 23. November) veröffentlicht worden. Überdies habe Google die App zwischendurch für einige Tage aus dem Store verbannt, sie jedoch am 23. November wieder aufgenommen.
Offenbar seien die Entwickler gerade dabei, das Problem zu beheben, so das Trustwave-Team. In Version 7.93 sei das Versenden von Medieninhalten wohl nicht möglich gewesen, und auch derzeit funktioniere die Funktion nicht mehr richtig; jedenfalls würden dem Empfänger keine validen Links mehr angezeigt. Ob sie im Hintergrund weiterhin erzeugt werden, ist unklar. In jedem Fall sind allerdings alle in der Vergangenheit hochgeladenen Inhalte, für die Links generiert wurden, unverändert auf die gleiche Art abrufbar – völlig unabhängig von den bisherigen Reparaturversuchen.
Update 01.12.20, 18:55: Inhaltliche Ergänzung zur Angreifbarkeit (generierter Link als Voraussetzung). (ovw)