Die Android-Version der App Shareit enthält offenbar mehrere schwerwiegende Sicherheitslücken. Unbefugte versetzten sie in die Lage, Schadcode einzuschleusen und auszuführen. Laut Google Play Store zählt die Anwendung mehr als eine Milliarde Downloads.
Die App Shareit dient der Übertragung und dem Teilen von Inhalten von einem Smartphone zu einem anderen. Der Anbieter verspricht einen “schnellen Cross-Plattform-Transfer” von Videos, Music, Bildern und GIF-Dateien. Die App fordert unter anderem Berechtigungen für den Zugriff auf Kontakte, den USB-Speicher, den internen Speicher, Kamera und Mikrofon, Standortdaten und WLAN-Verbindungen ein.
Auslöser ist laut Echo Duan, Mobile Threats Analyst bei Trend Micro, dass die App den Zugriff auf ihren Code nicht ausreichend einschränkt. Beispielsweise sei eine schädliche App in der Lage, eigene Befehle an die Shareit-App zu senden, um deren Funktionen zu kapern. Außerdem könnten lokale Dateien der App überschrieben und sogar weitere Apps ohne Wissen des Nutzers installiert werden.
Darüber hinaus soll die Shareit-App anfällig für einen als Man-in-the-Disk bezeichneten Angriff sein, den Forscher von Check Point erstmals im Jahr 2018 beschrieben. Dabei gibt eine App unerlaubter Weise Zugriff auf gemeinsam mit anderen Apps genutzte Speicherbereiche. Deren Inhalte können dort von Hackern bearbeitet, gelöscht oder durch eigene Inhalte ersetzt werden.
“Wir haben die Anfälligkeiten an den Anbieter gemeldet, der bisher nicht reagiert hat”, sagte Duan im Gespräch mit ZDNet USA. “Wir haben uns entschieden, unsere Forschung drei Monate nach der Meldung zu veröffentlichen, da viele Benutzer von diesem Angriff betroffen sein könnten und da der Angreifer vertrauliche Daten stehlen kann.”
Auch Google sei über das Problem informiert. Derzeit ist die Shareit-App aber weiterhin uneingeschränkt im Play Store verfügbar. Den dort hinterlegten Angaben zufolge wurde die App zuletzt am 9. Februar aktualisiert.
Der Shareit-Entwickler brüstet sich auf seiner Website mit 1,8 Milliarden Nutzern in mehr als 200 Ländern weltweit. Die iOS-Version der App ist indes nicht betroffen, da sie eine andere Codebasis hat.
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
Medizingeräte Hersteller Tuttnauer schützt Gerätesoftware mit IoT-Sicherheitslösung.