Обнаружена уязвимость двух гиперпопулярных приложений для Android

Данные пользователей Android оказались под угрозой.
Обнаружена уязвимость двух гиперпопулярных приложений для Android
Freepik

Приложения Xiaomi File Manager и WPS Office допустили критическую уязвимость в безопасности личных данных пользователей. Выяснилось, что эти приложения позволяли перезаписывать входящими файлами свои собственные системные. Грубо говоря, приложения просто слепо доверяли входящим файлам.

Это нарушение относится к уязвимости класса path traversal (обход пути). Оно может привести к краже токена или запуску произвольного кода в уязвимой системе, заявил эксперт по информационной безопасности подразделения Microsoft Threat Intelligence Димитриос Валсамарас.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Мошенники могут получить контроль над приложениями и использовать украденные токены для доступа к другим данным устройства, к примеру – онлайн-аккаунтам разных сервисов.

Freepik
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Xiaomi File Manager и WPS Office относятся к числу гиперпопулярных приложений, поскольку первое было скачано один миллиард раз, а у второго 500 млн загрузок. В системе Android для каждого приложения выделено определенное пространство в памяти устройства. Предполагается, что таким образом обеспечивается изоляция каждого из них. Однако существует функция обмена данными и файлами между разными приложениями. Разработчики утверждают, что этот способ безопасен, однако в некоторых случаях могут возникать ошибки, которые приводят к утечке персональных данных. Ограничения на чтение и запись не всегда работают корректно, поэтому некоторые приложения могут записывать файлы в собственный каталог, хотя на это не было выдано разрешение.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Эта проблема возникает из-за технической ошибки разработчиков приложения, которые не внедряют инструменты проверки входящих файлов. Таким образом злоумышленники получают возможность осуществить внутренний файлообмен для подмены критических файлов вредоносной версией. Хакеры могут перезаписать информацию и вывести значимые данные из устройства. Примечательно, что пользователь не узнает о том, что его данные находятся под угрозой.

Freepik
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Создателям Xiaomi File Manager и WPS Office известно об этой ошибке, разработчики отчиталась, что в феврале этого года они устранили проблемы с безопасностью. Однако эксперты Microsoft полагают, что с уязвимостью столкнулись не только эти два приложения. Существует угроза, что другие продукты компании также допустили ошибку при разработке механизма обмена файлами. При этом наибольшую проблему представляет отсутствие механизма принудительной смены идентификатора (названия файла) приложением. Эксперты называют это приглашением для хакерской атаки.

Ранее в России появился сервис, с помощью которого можно проверить, стал ли пользователь жертвой хакерской атаки. Для этого нужно ввести свои данные, которые будут сверены со слитыми базами персональных файлов.