Popularne aplikacje na Androida, wykorzystywane przez setki milionów ludzi na całym świecie, mają poważny błąd zagrażający bezpieczeństwu – czytamy w środowym raporcie Microsoft Threat Intelligence.
Wedle założeń aplikacje na Androidzie powinny być wzajemnie odizolowane, korzystając wydzielonej dla nich przestrzeni w pamięci, ale nie zawsze jest to takie proste. Czasem bowiem niezbędna jest też wymiana danych z innymi procesami, za co odpowiada specjalna klasa w systemie.
W wybranych przypadkach może to jednak prowadzić do podatności typu Path Traversal, czyli uzyskania dostępu do zasobów teoretycznie dla użytkownika niedostępnych – przekonuje Microsoft Threat Intelligence.
Jak wyjaśniono, dzieje się to szczególnie wtedy, gdy aplikacja docelowa nie weryfikuje, jakie dane otrzymuje. Albo robi to w sposób niezwykle naiwny, na przykład kontrolując jedynie nazwy. W takich sytuacjach, zdaniem badaczy, problemu nie stanowi podłożenie kodu szkodliwego, a co za tym idzie zainfekowanie telefonu malware'em.
Co więcej, z tego samego względu istnieje ponoć ryzyko kradzieży tokenów, a więc włamań na rozmaite konta w usługach online.
Wśród narażonych narzędzi wymieniono co prawda tylko dwie pozycje, ale za to są one szalenie popularne. Mowa o Menedżerze Plików Xiaomi oraz aplikacji biurowej WPS Office, z których łącznie może korzystać nawet 1,5 mld ludzi na całym świecie.
Dobra wiadomość jest taka, że deweloperzy mieli otrzymać stosowne informacje już w lutym i załatać luki. Gorsza, że zespół Microsoftu nie jest w stanie określić, ile takich koni trojańskich znajduje się jeszcze w naszych telefonach. Potencjalnie podatna może być każda aplikacja korzystająca z wymiany danych.
Źródło zdjęć: Shutterstock
Źródło tekstu: The Hacker News, oprac. własne