{"id":237843,"date":"2020-11-20T00:12:00","date_gmt":"2020-11-19T23:12:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237843"},"modified":"2023-08-16T00:44:40","modified_gmt":"2023-08-15T22:44:40","slug":"schwachstelle-in-go-sms-pro-app-legt-daten-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/20\/schwachstelle-in-go-sms-pro-app-legt-daten-offen\/","title":{"rendered":"Schwachstelle in GO SMS Pro-App legt Daten offen"},"content":{"rendered":"

[English<\/a>]In der GO SMS Pro-App gibt es eine nicht gepatchte Schwachstelle, die dazu f\u00fchrt, dass Sprachnachrichten, Videos oder Fotos, die zwischen Nutzern verschickt werden, \u00f6ffentlich einsehbar sind.<\/p>\n

<\/p>\n

\"\"GO SMS Pro ist eine beliebte Messaging-Anwendung f\u00fcr Android mit mehr als 100 Millionen Installationen. Die App ist beispielsweise im Google Play Store abrufbar.<\/p>\n

\"Go
\nQuelle: Google Play Store<\/p>\n

Die App GO SMS Pro erm\u00f6glicht es Benutzern, wie andere Messenger-Anwendungen auch, private Medien (Fotos, Videos, Sprachnachrichten) an andere Benutzer zu senden. Hat der Empf\u00e4nger die GO SMS Pro-App auf seinem Ger\u00e4t installiert, erscheinen die versandten Medien automatisch innerhalb der App.<\/p>\n

\"Go
\nQuelle: Trustwave<\/p>\n

Wenn der Empf\u00e4nger die GO SMS Pro-Anwendung jedoch nicht installiert hat, wird die Mediendatei als URL per SMS an den Empf\u00e4nger gesendet. Der Benutzer k\u00f6nnte dann auf den Link klicken und die Mediendatei \u00fcber einen Browser anzeigen. Der Sicherheitsforscher Richard Tan von Trustwave hat eine Schwachstelle in GO SMS Pro v7.91 gefunden und das Ganze in diesem Blog-Beitrag<\/a> offen gelegt.<\/p>\n

Er hat n\u00e4mlich festgestellt, dass der Zugriff auf den Link ohne jegliche Authentifizierung oder Autorisierung m\u00f6glich ist. Das bedeutet, dass jeder Benutzer mit dem Link den Inhalt anzeigen kann. Dar\u00fcber hinaus war der URL-Link sequentiell (hexadezimal) und vorhersehbar. Zudem wird bei der gemeinsamen Nutzung von Mediendateien ein Link generiert, unabh\u00e4ngig davon, bei welchem Empf\u00e4nger die Anwendung installiert ist.<\/p>\n

Infolgedessen k\u00f6nnte ein b\u00f6swilliger Benutzer potenziell auf alle Mediendateien zugreifen, die \u00fcber diesen Dienst gesendet werden, und auch auf alle, die in Zukunft gesendet werden. Dies hat nat\u00fcrlich Auswirkungen auf die Vertraulichkeit von Medieninhalten, die \u00fcber diese Anwendung gesendet werden. S\u00e4mtliche Medien wie private Sprachnachrichten, Videonachrichten und Fotos, die zwischen Benutzern per App \u00fcbertragen werden, sind dadurch \u00f6ffentlich und damit f\u00fcr Unbefugte zug\u00e4nglich. Das bedeutet, dass alle sensiblen Medien, die zwischen Benutzern dieser Messenger-App ausgetauscht werden, Gefahr laufen, von einem nicht authentifizierten Angreifer oder neugierigen Benutzer kompromittiert zu werden.<\/p>\n

Unklar ist, welche anderen Versionen der App noch tangiert sind. Die Sicherheitsforscher von Trustwave glauben, dass dies wahrscheinlich auch fr\u00fchere und m\u00f6glicherweise zuk\u00fcnftige Versionen der App betreffen wird. Der Sicherheitsforscher hat den App-Entwickler am 18. August 2020 kontaktiert, aber keine Antwort erhalten. Nach weiteren erfolglosen Kontaktversuchen hat er die Schwachstelle jetzt \u00f6ffentlich gemacht<\/a> und das Ganze The Hacker News mitgeteilt<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In der GO SMS Pro-App gibt es eine nicht gepatchte Schwachstelle, die dazu f\u00fchrt, dass Sprachnachrichten, Videos oder Fotos, die zwischen Nutzern verschickt werden, \u00f6ffentlich einsehbar sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-237843","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237843","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237843"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237843\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237843"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237843"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237843"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}