Unsere Analyst*innen des usd HeroLabs fanden während der Durchführung ihrer Pentests heraus, dass eine lokal installierte, bösartige App die Android-Anwendung Element X (bis Version 25.04.2) dazu bringen kann, eine manipulierte Webseite zu laden.
Diese erhält ähnliche Berechtigungen wie die App selbst und kann – je nach Konfiguration – automatisch mit temporärem Zugriff auf Mikrofon und Kamera ausgestattet werden. Die Schwachstelle liegt in einer unsachgemäß exportierten Komponente der App. Der Aufruf erfolgt über eine andere, unauffällige Anwendung, die sich problemlos über App-Stores verbreiten lässt. So kann ein realistischer Phishing-Angriff durchgeführt werden, bei dem auch Ton- und Videoaufnahmen des Opfers entstehen können.
Die Schwachstelle wurde dem Hersteller im Rahmen unserer Responsible Disclosure Policy gemeldet und ist in Version 25.04.2 behoben. Detaillierte Informationen zum Security Advisory finden Sie hier:
| Kennung | Produkt | Art der Schwachstelle |
| usd-2025-0010 | Element X Android | Improper Export of Android Application Components (CWE-926) |
Über usd HeroLab Security Advisories
Um Unternehmen vor Hackern und Kriminellen zu schützen, müssen wir sicherstellen, dass unsere Fähigkeiten und Kenntnisse stets auf dem neuesten Stand sind. Deshalb ist die Sicherheitsforschung für unsere Arbeit ebenso wichtig wie der Aufbau einer Security Community zur Förderung des Wissensaustausches. Denn mehr Sicherheit kann nur erreicht werden, wenn viele sie zu ihrer Aufgabe machen.
Wir untersuchen die sich ständig im Wandel befindlichen Angriffsszenarien und veröffentlichen in diesem Zusammenhang eine Reihe von Security Advisories zu aktuellen Schwachstellen und Sicherheitsproblemen – stets im Einklang mit den Leitsätzen unserer Responsible Disclosure Policy.
Immer im Namen unserer Mission: „more security."
