Loading...
Blogs & Stories

SpiderLabs-Blog

Mit mehr als einer halben Million Lesern pro Jahr ist dies die Anlaufstelle der Sicherheitsgemeinschaft für technische Informationen zu den neuesten Bedrohungen, Informationen zu kritischen Sicherheitslücken und aktuellen Forschungsergebnissen.

Go SMS Pro: Sicherheitslücke ermöglicht Diebstahl von Mediadateien

Die App GO SMS Pro ist eine beliebte Messenger-App mit über 100 Millionen Downloads. Trustwave hat entdeckt, dass die App Medien, die zwischen den App-Usern übertragen werden, durch eine Schwachstelle öffentlich zugänglich macht. Dazu gehören private Sprach- und Videonachrichten sowie Fotos. Das bedeutet, dass alle sensiblen Medien, die zwischen den Usern dieser Messenger-App ausgetauscht werden, Gefahr laufen, von einem nicht authentifizierten Angreifer oder anderen Dritten kompromittiert zu werden.

Go sms pro - google play

Hintergrundinformationen

Diese Schwachstelle wurde in der Version GO SMS Pro v7.91 entdeckt. Es ist unklar, ob auch andere Versionen betroffen sind, aber wir glauben, dass dies wahrscheinlich auch frühere und möglicherweise zukünftige Versionen betreffen wird. Die App GO SMS Pro ermöglicht es Nutzern – wie auch andere Messenger-Apps auf dem Markt –, private Medien an andere Nutzer zu senden, wie es unten im Bild gezeigt wird. Hat der Empfänger die GO SMS Pro-App auf seinem Gerät installiert, werden die Medien automatisch innerhalb der App angezeigt.

Image2



Hat der Empfänger die GO SMS Pro-App auf seinem Gerät installiert, werden die Medien automatisch innerhalb der App angezeigt.

Background 3

 

Entdeckung der Schwachstelle

SpiderLabs stellte fest, dass der Zugriff auf den Link ohne jegliche Authentifizierung oder Autorisierung möglich ist. Dies bedeutet, dass jeder User mit dem Link den Inhalt ansehen kann. Darüber hinaus war der URL-Link sequentiell (hexadezimal) und vorhersehbar. Zudem wird bei der gemeinsamen Nutzung von Mediendateien ein Link generiert, unabhängig davon, bei welchem Empfänger die App installiert ist. Infolgedessen könnte ein böswilliger User potenziell auf alle Mediendateien zugreifen, die über diesen Dienst gesendet wurden – und zukünftig darüber gesendet werden. Dies hat natürlich Auswirkungen auf die Vertraulichkeit von Medieninhalten, die über diese App gesendet werden.

Das folgende Beispiel zeigt, wie ein Angreifer diese Schwachstelle ausnutzen könnte, um Medieninhalte fremder Nutzer unbefugt einzusehen:

Erhält ein Empfänger einen SMS-Text mit einem von dieser App gesendeten Medien-URL-Link, wird die Textnachricht wie folgt angezeigt:

"Ich habe dir einen Audio-Clip geschickt: http://gs.3g.cn/D/dd1efd/w<gof=Ah7v>"

Per Klick auf den Link http://gs.3g.cn/D/dd1efd/w kann der Empfänger die Sprachnachricht im Browser einsehen. Durch das Erhöhen der Werte in der URL ist es jedoch möglich, weitere geteilte Mediennachrichten der Nutzer anzuzeigen oder anzuhören. So würde beispielsweise der Zugriff auf http://gs.3g.cn/D/e3a6b4/w ein Foto eines gefälschten Führerscheins zeigen.

Um zu demonstrieren, wie ein Angreifer problemlos eine Vielzahl von Userdaten stehlen kann, könnte ein einfaches Bash-Skript verwendet werden, um eine Beispielliste von URLs zu generieren.

#!/bin/bash
(echo obase=16; seq 1 $((echo ibase=16; echo FF) | bc)) | bc > 1
for i in $(cat 1); do echo "http://gs.3g.cn/D/dd1a$i /w"; done | tr -d " "

Indem man die so generierten URLs in eine Multi-Tab-Extension in Chrome oder Firefox einfügt, ist es trivial, auf private (und potenziell sensible) Mediendateien zuzugreifen, die von Nutzern dieser App gesendet wurden.

Firefox

Aktueller Stand

Trustwave hat seit dem 18. August 2020 mehrmals versucht, den App-Anbieter zu kontaktieren, erhielt jedoch keine Antwort. Die Schwachstelle ist also nach wie vor vorhanden und stellt ein Risiko für die App-Nutzer dar. Wir empfehlen daher dringlichst, keine Mediendateien, die sensible Daten und/oder private Informationen enthalten, mit dieser Messenger-App zu versenden – zumindest so lange, bis der Anbieter diese Schwachstelle behoben hat.

Revisionsverlauf

  • 18.08.2020 – Anbieter kontaktiert – keine Antwort erhalten
  • 15.09.2020 – Anbieter kontaktiert – keine Antwort erhalten
  • 14.10.2020 – Anbieter kontaktiert – keine Antwort erhalten
  • 16.11.2020 – Anbieter kontaktiert – keine Antwort erhalten
  • 19.11.2020 – Sicherheitshinweis veröffentlicht

Referenz

TWSL2020-008: Lack of Access Control in GO SMS Pro