Ungepatchte Lecks in Android-App Shareit

(Quelle: Google Play Store/SITM)

17. Februar 2021 - Sicherheitsforscher haben in der beliebten File-Sharing-App Shareit für Android diverse gravierende Sicherheitsprobleme entdeckt, für die bisher keine Patches vorliegen.

Shareit ist eine beliebte App zum plattformübergreifenden Dateiaustausch, erhältlich für Android, iOS, PC und Mac. Googles Play Store spricht von über einer Milliarde Downloads und verzeichnet fünfzehneinhalb Millionen Bewertungen, meist positiv. In der Android-Version klaffen allerdings mehrere kritische Sicherheitslücken, wie der Security-Spezialist Trend Micro ermittelt und nun veröffentlicht hat. Denn der Hersteller Smart Media4u hat bisher nicht mit Patches auf die vor über drei Monaten erhaltene Benachrichtigung von Trend Micro reagiert. Ob die Probleme auch auf iOS und anderen Plattformen auftreten und welche Versionen von Shareit betroffen sind, erwähnt Trend Micro nicht.In der Beschreibung der Problematik merken die Sicherheitsforscher an, über eine der Schwachstellen könne aus der Ferne beliebiger Code mit den Berechtigungen der App ausgeführt sowie User-Daten gestohlen werden. Des Weiteren zeigt die Meldung einen Proof-of-Concept zur Ausnutzung der Lücke und beschreibt weitere Lecks, darunter Probleme mit dem Deep-Link-Feature von Shareit und die Möglichkeit von Man-in-the-Disk-Attacken: Wenn ein App-Update heruntergeladen wird, kommt dieses in ein externes Verzeichnis, sodass jede App mit Schreibrechten für die SD-Karte darauf zugreifen und das Update-APK durch eine gefälschte App ersetzen kann. (ubi)