Loading...
Blogs & Stories

SpiderLabs-Blog

Mit mehr als einer halben Million Lesern pro Jahr ist dies die Anlaufstelle der Sicherheitsgemeinschaft für technische Informationen zu den neuesten Bedrohungen, Informationen zu kritischen Sicherheitslücken und aktuellen Forschungsergebnissen.

Go SMS Pro-Sicherheitslücke ermöglicht Diebstahl von Mediadateien: Part 2

Am Tag vor der Veröffentlichung unseres Warnhinweises wurde eine neue Version der App in den Play Store hochgeladen. Google hat die App dann am 20. November, einen Tag nach der Veröffentlichung unseres Hinweises, aus dem Play Store entfernt. Am 23. November wurde eine aktualisierte Version der App durch Google wieder in den Play Store aufgenommen. Das SpiderLabs-Team von Trustwave testete beide Versionen der Software, die seit der Veröffentlichung unserer Warnung veröffentlicht wurden, insbesondere v7.93 und v7.94.

Allem Anschein nach versucht GOMO das Problem zu beheben – vollständig gefixt wurde es bislang allerdings noch nicht. In v7.93 wurde die Möglichkeit, Mediendateien zu senden, offenbar vollständig deaktiviert. Unser Team war nicht einmal in der Lage, Dateien an eine MMS-Nachricht anzuhängen. In v7.94 können nach wie vor Medien in der App hochgeladen werden, aber die Dateien sind anschließend nicht zu finden. Der Absender von Dateien sieht etwas Ähnliches wie in Abbildung 1; der Empfänger erhält jedoch weder mit noch ohne angehängte Mediendatei einen tatsächlichen Text. Es scheint also, als wäre GOMO gerade dabei, das Grundproblem zu beheben.

V794Abbildung 1: Mit GO SMS Pro v7.94 gesendete MMS-Texte

 

Trotz dieser anfänglichen Fehlerbehebungen können wir bestätigen, dass ältere Medien – die von uns zur Überprüfung der ursprünglichen Schwachstelle verwendet wurden – nach wie vor verfügbar sind. Dazu zählen diverse sensible Daten wie Führerscheine, Krankenversicherungsnummern, Rechtsdokumente und Bilder „romantischer" Natur.

GOSMS-SanitizedAbbildung 2: Beispiele für Mediadateien, die durch GO SMS Pro geleakt wurden

 

Leider konnten wir viele Aktivitäten rund um diese Sicherheitslücke feststellen. So wurden auf Webseiten wie Pastebin und Github diverse Tools und Skripte veröffentlicht, um diese Schwachstelle auszunutzen. Mehrere weit verbreitete Tools werden täglich aktualisiert und befinden sich schon in der dritten oder vierten Überarbeitung. Auch in Untergrundforen sind wir auf Bilder gestoßen, die direkt von GO-SMS-Servern heruntergeladen wurden.

ToolsAbbildung 3: Eines der vielen verfügbaren Exploit-Skripte

 

Forum-1
Abbildung 4: GO-SMS-Schwachstelle ist Thema in Untergrundforen

 

Uns widerstreben solche Situationen, die eine vollständige Offenlegung erfordern. Ohne die Kooperation von GOMO und GO SMS Pro sind wir jedoch nur sehr begrenzt in der Lage, dieses Problem zu lösen. Unsere einzige Möglichkeit besteht in der Aufklärung der Öffentlichkeit, um zu verhindern, dass die App-Nutzer weiterhin ihre sensiblen Fotos, Videos und Sprachnachrichten über diese App versenden und dadurch eine Veröffentlichung riskieren. Aufgrund der fehlenden Kooperation des Betreibers und der Tatsache, dass alte Daten noch immer gefährdet sind und aktiv geleakt wurden, sollte Google die App unserer Meinung nach wieder aus dem Store entfernen.

Recent SpiderLabs Blog Posts