Firma Microsoft ujawniła odkrycie poważnej luki w zabezpieczeniach niezliczonej liczby aplikacji na Androida, stwarzającej ryzyko kradzieży cennych danych użytkownika.
3ZOBACZ GALERIĘ – 3 ZDJĘCIA
Advertisement
Microsoft nazwał tę lukę w zabezpieczeniach „Dirty Stream” i wyjaśnia, że usterkę można powiązać z krytycznym systemem odpowiedzialnym za bezpieczną wymianę danych między różnymi aplikacjami na urządzeniu. System ten jest również odpowiedzialny za przeprowadzanie autoryzacji uzgadniania za pomocą zabezpieczeń, takich jak izolacja wrażliwych danych, ukrywanie wszelkich uprawnień przypisanych do określonych jednolitych identyfikatorów zasobów (URI) oraz zapobieganie nieautoryzowanemu dostępowi poprzez sprawdzanie ścieżek plików.
Niestety, Microsoft odkrył krytyczną lukę w systemie, ujawnioną poprzez nieprawidłowe użycie „niestandardowe intencje„, który jest systemem przesyłania wiadomości używanym przez aplikacje na Androida do komunikowania się z różnymi aspektami aplikacji. Zasadniczo jest to system przesyłania wiadomości używany do wzajemnej komunikacji wszystkich składników aplikacji. Dzięki temu badacze odkryli wrażliwe obszary aplikacji i możliwa droga atakującego do przejęcia całkowitej kontroli nad aplikacją i zebrania wrażliwych danych użytkownika.
3W dochodzeniu Microsoftu wymieniono dwie aplikacje, które łącznie pobrano ponad miliard, to aplikacja File Manager firmy Xiaomi (miliard instalacji) i WPS Office (około 500 milionów instalacji).
„Zidentyfikowaliśmy kilka podatnych aplikacji w sklepie Google Play, które reprezentowały ponad cztery miliardy instalacji. Przewidujemy, że wzorzec luki można znaleźć w innych aplikacjach. Udostępniamy wyniki tych badań, aby programiści i wydawcy mogli sprawdzić swoje aplikacje pod kątem podobnych problemów, naprawić je w razie potrzeby i zapobiec wprowadzaniu takich luk do nowych aplikacji lub wydań,” powiedział badacz Microsoftu Dimitrios Valsamaras