Shareit ist eine beliebte App zum plattformübergreifenden Dateiaustausch, erhältlich für Android, iOS, PC und Mac. Googles Play Store spricht von über einer Milliarde Downloads und verzeichnet fünfzehneinhalb Millionen Bewertungen, meist positiv. In der Android-Version klaffen allerdings mehrere kritische Sicherheitslücken, wie der Security-Spezialist
Trend Micro ermittelt und nun veröffentlicht hat. Denn der Hersteller Smart Media4u hat bisher nicht mit Patches auf die vor über drei Monaten erhaltene Benachrichtigung von Trend Micro reagiert. Ob die Probleme auch auf iOS und anderen Plattformen auftreten und welche Versionen von Shareit betroffen sind, erwähnt Trend Micro nicht.
In der
Beschreibung der Problematik merken die Sicherheitsforscher an, über eine der Schwachstellen könne aus der Ferne beliebiger Code mit den Berechtigungen der App ausgeführt sowie User-Daten gestohlen werden. Des Weiteren zeigt die Meldung einen Proof-of-Concept zur Ausnutzung der Lücke und beschreibt weitere Lecks, darunter Probleme mit dem Deep-Link-Feature von Shareit und die Möglichkeit von Man-in-the-Disk-Attacken: Wenn ein App-Update heruntergeladen wird, kommt dieses in ein externes Verzeichnis, sodass jede App mit Schreibrechten für die SD-Karte darauf zugreifen und das Update-APK durch eine gefälschte App ersetzen kann.
(ubi)
