Über Eine Milliarde Android-Geräte Haben Diese Verwundbaren Apps Installiert

Sicherheitsforscher des Microsoft Threat Intelligence-Teams haben eine mit Pfadüberquerung verbundene Verwundbarkeit aufgedeckt, die als „Dirty Stream“-Angriff in mehreren beliebten Android-Anwendungen bezeichnet wird.

Diese Verwundbarkeit könnte es einer bösartigen App ermöglichen, beliebige Dateien im Home-Verzeichnis der verwundbaren App zu überschreiben.

In einem am Mittwoch veröffentlichten Bericht sagte Dimitrios Valsamaras vom Microsoft Threat Intelligence-Team: „Die Auswirkungen dieses Verwundbarkeitsmusters umfassen die Ausführung beliebigen Codes und den Diebstahl von Tokens, abhängig von der Implementierung einer Anwendung.“

Er fügte hinzu: „Die Ausführung beliebigen Codes kann einem Bedrohungsakteur die vollständige Kontrolle über das Verhalten einer Anwendung geben. In der Zwischenzeit kann der Diebstahl von Tokens einem Bedrohungsakteur Zugang zu den Konten und sensiblen Daten des Benutzers verschaffen.“

Die Entdeckung betraf mehrere verwundbare Apps im Google Play Store, die über vier Milliarden Installationen repräsentieren.

Zwei der als verwundbar identifizierten Apps sind der Xiaomi Inc. Datei-Manager (com.mi.Android.globalFileexplorer), der über 1 Milliarde Installationen hat, und WPS Office (cn.wps.moffice_eng), das mehr als 500 Millionen Downloads verzeichnet.

Das Android-Betriebssystem erzwingt Isolation, indem es jeder Anwendung ihren eigenen dedizierten Daten- und Speicherbereich zuweist, insbesondere die Inhaltsanbieterkomponente und ihre „FileProvider“-Klasse, die einen sicheren Datenaustausch und Dateifreigabe mit anderen installierten Anwendungen ermöglicht.

Wenn dies falsch implementiert wird, kann es zu Verwundbarkeiten führen, die das Umgehen von Lese-/Schreibbeschränkungen im Home-Verzeichnis einer Anwendung ermöglichen.

„Dieses auf Inhaltsanbietern basierende Modell bietet einen klar definierten Dateifreigabemechanismus, der es einer bereitstellenden Anwendung ermöglicht, ihre Dateien auf sichere Weise mit anderen Anwendungen unter feingranularer Kontrolle zu teilen“, bemerkte Valsamaras.

„Wir haben jedoch häufig Fälle festgestellt, in denen die konsumierende Anwendung den Inhalt der Datei, die sie erhält, nicht validiert und, was am besorgniserregendsten ist, den von der bereitstellenden Anwendung bereitgestellten Dateinamen verwendet, um die empfangene Datei im internen Datenverzeichnis der konsumierenden Anwendung zwischenzuspeichern.“

Die Ausführung bösartiger Codes kann erreicht werden, indem einem Bedrohungsakteur die vollständige Kontrolle über das Verhalten einer Anwendung gegeben wird und er sie dazu bringt, mit einem Server zu kommunizieren, der unter ihrer Kontrolle steht, um auf sensible Daten zuzugreifen.

Im Rahmen von Microsofts verantwortungsbewusster Offenlegungspolitik teilte das Unternehmen seine Erkenntnisse mit den Entwicklern von Android-Apps, die von Dirty Stream betroffen waren. Beispielsweise haben die Sicherheits-Teams von Xiaomi, Inc. und WPS Office das Problem bereits untersucht und behoben.

Das Unternehmen glaubt jedoch, dass weitere Anwendungen betroffen sein könnten und wahrscheinlich aufgrund derselben Sicherheitsanfälligkeit kompromittiert wurden. Daher empfiehlt es allen Entwicklern, ihre Forschung zu analysieren und sicherzustellen, dass ihre Produkte nicht betroffen sind.

„Wir gehen davon aus, dass das Verwundbarkeitsmuster auch in anderen Anwendungen gefunden werden könnte. Wir teilen diese Forschung, damit Entwickler und Herausgeber ihre Apps auf ähnliche Probleme überprüfen, gegebenenfalls beheben und verhindern können, dass solche Verwundbarkeiten in neue Apps oder Versionen eingeführt werden“, fügte Valsamaras hinzu.

In Anerkennung der Tatsache, dass dieses Verwundbarkeitsmuster weit verbreitet sein könnte, teilte Microsoft seine Erkenntnisse auch mit dem Android Application Security Research-Team von Google.

Der Suchgigant hat einen Artikel auf der Website der Android-Entwickler veröffentlicht, um Entwicklern zu helfen, dieses Verwundbarkeitsmuster in ihren Apps zu vermeiden.

In der Zwischenzeit können Benutzer das Risiko mindern, indem sie ihre Android-Geräte und installierten Apps aus vertrauenswürdigen Quellen auf dem neuesten Stand halten.