Microsoft откри уязвимост засягаща популярни приложения за Android
Microsoft разкри критичен пропуск в сигурността, който може да засегне много приложения за Android. Наречена „Dirty Stream“, тази уязвимост представлява сериозна заплаха, която може да даде възможност на някой да поеме контрол над приложенията и да открадне ценна информация за потребителите.
Сърцевината на уязвимостта „Dirty Stream“ се крие във възможността злонамерени приложения за Android да манипулират и злоупотребяват със системата на доставчика на съдържание на Android. Тази система обикновено е предназначена да улеснява сигурния обмен на данни между различните приложения на дадено устройство. Тя включва предпазни мерки, като например строга изолация на данните, използване на разрешения, свързани с конкретни URI (Uniform Resource Identifiers), и задълбочено валидиране на пътищата към файловете, за да се предотврати неоторизиран достъп.
Въпреки това небрежното прилагане на тази система може да отвори вратата за експлоатация. Изследователите на Microsoft установиха, че неправилното използване на „потребителски намерения“ – системата за съобщения, която позволява на компонентите на приложенията за Android да комуникират – може да разкрие чувствителни области на приложението. Например уязвимите приложения може да не проверяват адекватно имената или пътищата на файловете, което дава възможност на злонамерено приложение да вкара вреден код, маскиран като легитимни файлове.
Чрез използване на дефекта Dirty Stream атакуващият може да подмами уязвимо приложение да презапише критични файлове в личното пространство за съхранение. Подобен сценарий на атака може да доведе до пълен контрол на нападателя върху поведението на приложението, получаване на неоторизиран достъп до чувствителни потребителски данни или прихващане на лична информация за вход.
Разследването на Microsoft разкри, че тази уязвимост не е изолиран проблем, тъй като при проучването бяха открити неправилни реализации на системата за доставчик на съдържание, разпространени в много популярни приложения за Android. Два забележителни примера са приложението File Manager на Xiaomi, което има над един млрд. инсталации, и WPS Office, което може да се похвали с около 500 млн. инсталации.
Изследователят от Microsoft Димитриос Валсамарас подчерта зашеметяващия брой на изложените на риск устройства, като заяви: „Идентифицирахме няколко уязвими приложения в Google Play Store, които представляват над четири милиарда инсталации.“
Microsoft активно споделя своите открития, като предупреждава разработчиците на потенциално уязвими приложения и си сътрудничи с тях за внедряване на поправки. И двете горепосочени компании своевременно са признали за установените проблеми в техния софтуер.