Aplikacje pobrane 4 mld razy. Microsoft odkrył w nich poważną lukę

Microsoft odkrył poważną lukę w zabezpieczeniach aplikacji na Androida. O skali problemu niech świadczy fakt, że mowa o popularnych aplikacjach, które łącznie pobrano aż 4 mln razy ze sklepu Google Play. Na "czarnej liście" widnieje np. WPS Office.

Gigant z Redmond informuje, że odkryta luka w zabezpieczeniach ma "gigantyczną skalę". Jak przekazano w raporcie, chodzi o kilka popularnych aplikacji oferowanych w sklepie Google Play, które okazały się narażone na lukę "Dirty Stream". Dotyczy ona narzędzia ContentProvider w systemie Android, dzięki któremu możliwe jest udostępnianie plików pomiędzy zainstalowanymi aplikacjami. Problem polega na tym, że odkryta luka może zostać wykorzystana do nadpisywania krytycznych plików w katalogu domowym.

Stąd już o krok od wprowadzenia zmian w aplikacji, które mogą prowadzić do utraty danych logowania i innych wrażliwych informacji, a nawet prowadzić do utraty kontroli czy całkowitego dostępu do aplikacji przez użytkownika.

Dalsza część artykułu pod materiałem wideo

"Zidentyfikowaliśmy kilka podatnych na ataki aplikacji w sklepie Google Play, które reprezentowały ponad cztery miliardy instalacji. Przewidujemy, że ten wzorzec podatności można znaleźć w innych aplikacjach. Dzielimy się tymi badaniami, aby programiści i wydawcy mogli sprawdzić swoje aplikacje pod kątem podobnych problemów, naprawić je w razie potrzeby i zapobiec wprowadzaniu takich luk w nowych aplikacjach lub wydaniach" - czytamy w komunikacie Microsoft.

O jakie konkretnie aplikacje chodzi? Microsoft wymienia dwie, które były narażone. Były, ponieważ w obu przypadkach problemy zostały już wyeliminowane. Chodzi o Xiaomi Inc.’s File Manager (ponad miliard instalacji) oraz WPS Office (ponad 500 mln instalacji).