Oltre un miliardo di dispositivi Android hanno queste app vulnerabili installate

I ricercatori di sicurezza del team Microsoft Threat Intelligence hanno rivelato una vulnerabilità associata al percorso di traversata denominata attacco “Dirty Stream” in diverse popolari applicazioni Android.

Questa vulnerabilità potrebbe consentire a un’app malevola di sovrascrivere file arbitrari nella directory principale dell’app vulnerabile.

In un rapporto pubblicato mercoledì, Dimitrios Valsamaras del team Microsoft Threat Intelligence ha dichiarato: “Le implicazioni di questo modello di vulnerabilità includono l’esecuzione di codice arbitrario e il furto di token, a seconda dell’implementazione di un’applicazione.”

Ha aggiunto: “L’esecuzione di codice arbitrario può fornire a un attore malevolo il pieno controllo sul comportamento di un’applicazione. Nel frattempo, il furto di token può fornire a un attore malevolo accesso agli account e ai dati sensibili dell’utente.”

La scoperta ha interessato più app vulnerabili nel Google Play Store, rappresentando oltre quattro miliardi di installazioni.

Due delle app trovate vulnerabili al problema includono Xiaomi Inc. File Manager (com.mi.Android.globalFileexplorer), che ha oltre 1 miliardo di installazioni, e WPS Office (cn.wps.moffice_eng), che ha più di 500 milioni di download.

Il sistema operativo Android applica l’isolamento assegnando a ciascuna applicazione il proprio spazio dati e memoria dedicato, in particolare il componente del fornitore di contenuti e la sua classe ‘FileProvider’, che facilita la condivisione sicura di dati e file con altre applicazioni installate.

Quando implementato in modo errato, potrebbe introdurre vulnerabilità che potrebbero consentire di bypassare le restrizioni di lettura/scrittura all’interno della directory principale di un’applicazione.

“Questo modello basato sul fornitore di contenuti fornisce un meccanismo di condivisione di file ben definito, consentendo a un’applicazione di servizio di condividere i propri file con altre applicazioni in modo sicuro con un controllo dettagliato,” ha osservato Valsamaras.

“Tuttavia, abbiamo frequentemente incontrato casi in cui l’applicazione consumatrice non convalida il contenuto del file che riceve e, cosa più preoccupante, utilizza il nome del file fornito dall’applicazione di servizio per memorizzare nella cache il file ricevuto all’interno della directory dati interna dell’applicazione consumatrice.”

L’esecuzione di codice malevolo può essere ottenuta consentendo a un attore malevolo di avere il pieno controllo sul comportamento di un’applicazione e facendola comunicare con un server sotto il loro controllo per accedere a dati sensibili.

Come parte della politica di divulgazione responsabile di Microsoft, l’azienda ha condiviso le proprie scoperte con gli sviluppatori di app Android che sono stati colpiti da Dirty Stream. Ad esempio, i team di sicurezza di Xiaomi, Inc. e WPS Office hanno già indagato e risolto il problema.

Tuttavia, l’azienda ritiene che più applicazioni potrebbero essere colpite e probabilmente compromesse a causa della stessa vulnerabilità di sicurezza. Pertanto, raccomanda a tutti gli sviluppatori di analizzare la propria ricerca e assicurarsi che i loro prodotti non siano colpiti.

“Ci aspettiamo che il modello di vulnerabilità possa essere trovato in altre applicazioni. Stiamo condividendo questa ricerca affinché gli sviluppatori e gli editori possano controllare le loro app per problemi simili, correggere come appropriato e prevenire l’introduzione di tali vulnerabilità in nuove app o versioni,” ha aggiunto Valsamaras.

Riconoscendo che questo modello di vulnerabilità potrebbe essere diffuso, Microsoft ha anche condiviso le proprie scoperte con il team di ricerca sulla sicurezza delle applicazioni Android di Google.

Il gigante della ricerca ha pubblicato un articolo sul sito degli sviluppatori Android per aiutare gli sviluppatori a evitare di introdurre questo modello di vulnerabilità nelle loro app.

Nel frattempo, gli utenti possono mitigare il rischio mantenendo i propri dispositivi Android e le app installate da fonti affidabili aggiornati.