Sicherheitslücken in Wondershare RepairIt gefährden Nutzerdaten

LONDON (IT BOLTWISE) – Zwei kritische Sicherheitslücken in Wondershare RepairIt wurden entdeckt, die Nutzerdaten und KI-Modelle gefährden. Diese Schwachstellen könnten Angreifern ermöglichen, auf sensible Informationen zuzugreifen und die Integrität der Software zu kompromittieren.

In der digitalen Welt, in der Datenschutz und Sicherheit von größter Bedeutung sind, hat die Entdeckung von Sicherheitslücken in Softwareprodukten weitreichende Konsequenzen. Jüngst haben Sicherheitsforscher zwei kritische Schwachstellen in Wondershare RepairIt aufgedeckt, die nicht nur private Nutzerdaten gefährden, sondern auch die Integrität von KI-Modellen und die Sicherheit der Lieferkette beeinträchtigen könnten. Diese Schwachstellen, identifiziert als CVE-2025-10643 und CVE-2025-10644, ermöglichen es Angreifern, Authentifizierungsschutz zu umgehen und potenziell schädlichen Code auf den Endgeräten der Kunden auszuführen.

Die Forscher von Trend Micro, Alfredo Oliveira und David Fiser, haben herausgefunden, dass die Anwendung, die sich auf KI-gestützte Datenreparatur und Fotoeditierung spezialisiert hat, durch schwache Entwicklungspraktiken private Nutzerdaten sammelte und speicherte. Besonders problematisch ist die direkte Einbettung von zu großzügigen Cloud-Zugriffstoken im Anwendungscode, die Lese- und Schreibzugriff auf sensible Cloud-Speicher ermöglichen. Diese Daten wurden zudem unverschlüsselt gespeichert, was das Risiko eines Missbrauchs der hochgeladenen Bilder und Videos der Nutzer erhöht.

Die Sicherheitslücken betreffen nicht nur Nutzerdaten, sondern auch die KI-Modelle und Software-Binaries, die von Wondershare entwickelt wurden. Angreifer könnten diese Modelle manipulieren oder die Ausführungsdateien verändern, was zu Supply-Chain-Angriffen führen könnte, die die nachgelagerten Kunden von Wondershare betreffen. Da die Binärdateien automatisch KI-Modelle aus dem unsicheren Cloud-Speicher abrufen und ausführen, könnten Angreifer diese Modelle oder deren Konfigurationen ändern und die Nutzer unbemerkt infizieren.

Die Auswirkungen solcher Sicherheitslücken sind weitreichend und reichen von Diebstahl geistigen Eigentums über regulatorische Strafen bis hin zu einem Vertrauensverlust bei den Verbrauchern. Trotz der verantwortungsvollen Offenlegung dieser Probleme durch Trend Micro im Rahmen der Zero Day Initiative im April 2025 hat der Anbieter bisher nicht reagiert. In Ermangelung eines Fixes wird den Nutzern empfohlen, den Umgang mit dem Produkt einzuschränken. Diese Vorfälle unterstreichen die Notwendigkeit, Sicherheitsprozesse in der gesamten Organisation zu implementieren, einschließlich der CD/CI-Pipeline.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Vikye KI -Roboter Angetrieben von Deepseek, Smart Talking Desk Companion mit 1,28 "Bildschirm, Sprachsteuerung, WLAN -Wetteruhr und Bluetooth Music Player

30,50 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

ZOOI Geschenke für Männer, Geburtstagsgeschenk für Männer, Gadgets für Männer, Geschenke für Papa Geschenk Männergeschenk Adventskalender Füllung Männer, Bluetooth Lautsprecher mit Handyständer

20,99 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

QCOQ® Air Tags 4er Pack Schwarz, Schlüsselfinder & Air Tracker Tagg Kompatibel mit Apple Wo ist? App (Nur iOS), Smart Key Finder mit Schlüsselband, Koffer-Tracker für Taschen/Keys, Austauschbarer Akku

36,99 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

169,00 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!