Alert!

Mehrere Sicherheitslücken in beliebter Android-Sharing-App – aber kein Patch

Über eine Milliarde Downloads hat die App SHAREit – und die Nutzer haben ein ernstes Sicherheitsproblem.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 8 Beiträge

(Bild: SmartMedia4U)

Von
  • Jürgen Schmidt

Videos, Bilder, Musik oder ganze Apps – Shareit macht das Teilen einfach. Doch mit etwas Pech fängt man sich mit der beliebten App auch ernste Sicherheitsprobleme ein. Die Sicherheitsfirma Trend Micro fand gleich mehrere davon und informierte den Hersteller. Nachdem der monatelang nicht reagierte, veröffentlichte Trend Micro sie nun.

Über die Sicherheitslücken könnte ein Angreifer Daten des Smartphone-Besitzers stehlen oder über eingeschleuste Trojaner-Apps sogar das Handy mit Schadcode infizieren, erklären die Entdecker. Sie dokumentieren zwar die Lücken im Code und die unsichere Verwendung von HTTP für Downloads. Bei der Beschreibung der möglichen Ausnutzung blieben sie sehr vage. So ist letztlich nicht ganz klar, unter welchen Voraussetzungen erfolgreiche Angriffe möglich sind.

Trend Micro hat zwar den Hersteller nach eigenen Angaben über die gefundenen Probleme informiert, aber über 3 Monate lang keine Antwort erhalten. Auch Google habe man informiert, versichert Trend Micro. Und nun veröffentliche man die Lücken, da "viele Nutzer von diesen Angriffen betroffen sein könnten". Welche Versionen der App genau betroffen sind, lässt Trend Micro dabei genauso offen, wie die Frage, ob die Probleme vielleicht auch andere Plattformen als Android betreffen.

Über 1,8 Milliarden Nutzer hat die App ShareIt nach Angaben des Herstellers Smart Media4U aus Singapur. Google Play verzeichnet über eine Milliarde Downloads der Android-App; die Zahl ist also nicht unrealistisch. Was diese Anwender jetzt jedoch machen sollen, bleibt unausgesprochen. Trend Micros Empfehlungen beschränken sich auf allgemeine Security-Tipps ohne Bezug auf die konkreten Probleme. Zu einem "Deinstalliert diese App" reichte der Mut offenbar nicht. Dabei ist das durchaus naheliegend, solange der Hersteller nicht eindeutig Stellung bezieht. heise Security hat Smart Media4U ebenfalls kontaktiert und wird über eine eventuelle Stellungnahme des Herstellers berichten.

(ju)