Более миллиарда устройств Android имеют установленные уязвимые приложения

Исследователи безопасности из команды Microsoft Threat Intelligence раскрыли уязвимость, связанную с обходом путей, названную атакой «Грязный поток» в нескольких популярных приложениях для Android.

Эта уязвимость может позволить вредоносному приложению перезаписывать произвольные файлы в домашнем каталоге уязвимого приложения.

В отчете, опубликованном в среду, Димитриос Вальсамарас из команды Microsoft Threat Intelligence сказал: «Последствия этой уязвимости включают выполнение произвольного кода и кражу токенов, в зависимости от реализации приложения».

Он добавил: «Выполнение произвольного кода может предоставить злоумышленнику полный контроль над поведением приложения. Тем временем, кража токенов может предоставить злоумышленнику доступ к учетным записям пользователей и конфиденциальным данным».

Это открытие затронуло несколько уязвимых приложений в Google Play Store, представляя более четырех миллиардов установок.

Два из найденных уязвимых приложений включают Xiaomi Inc. File Manager (com.mi.Android.globalFileexplorer), которое имеет более 1 миллиарда установок, и WPS Office (cn.wps.moffice_eng), которое имеет более 500 миллионов загрузок.

Операционная система Android обеспечивает изоляцию, назначая каждому приложению свое собственное выделенное пространство данных и памяти, особенно компоненту поставщика контента и его класс ‘FileProvider’, который облегчает безопасный обмен данными и файлами с другими установленными приложениями.

При неправильной реализации это может привести к уязвимостям, которые могут позволить обойти ограничения на чтение/запись в домашнем каталоге приложения.

«Эта модель на основе поставщика контента предоставляет четко определенный механизм обмена файлами, позволяя обслуживающему приложению безопасно делиться своими файлами с другими приложениями с тонкой настройкой контроля», - отметил Вальсамарас.

«Тем не менее, мы часто сталкивались с случаями, когда потребляющее приложение не проверяет содержимое файла, который оно получает, и, что наиболее тревожно, использует имя файла, предоставленное обслуживающим приложением, для кэширования полученного файла в внутреннем каталоге данных потребляющего приложения».

Выполнение вредоносного кода может быть достигнуто, позволяя злоумышленнику иметь полный контроль над поведением приложения и заставляя его взаимодействовать с сервером под их контролем для доступа к конфиденциальным данным.

В рамках политики ответственного раскрытия информации Microsoft поделилась своими выводами с разработчиками приложений для Android, которые были затронуты атакой Грязный поток. Например, команды безопасности Xiaomi, Inc. и WPS Office уже исследовали и исправили проблему.

Тем не менее, компания считает, что больше приложений могут быть затронуты и, вероятно, скомпрометированы из-за той же уязвимости безопасности. Поэтому она рекомендует всем разработчикам проанализировать свои исследования и убедиться, что их продукты не затронуты.

«Мы ожидаем, что этот шаблон уязвимости может быть найден в других приложениях. Мы делимся этим исследованием, чтобы разработчики и издатели могли проверить свои приложения на наличие подобных проблем, исправить их по мере необходимости и предотвратить внедрение таких уязвимостей в новые приложения или релизы», - добавил Вальсамарас.

Признавая, что этот шаблон уязвимости может быть широко распространен, Microsoft также поделилась своими выводами с командой исследований безопасности приложений Android от Google.

Поисковый гигант опубликовал статью на сайте Android Developers, чтобы помочь разработчикам избежать внедрения этого шаблона уязвимости в свои приложения.

Тем временем пользователи могут снизить риск, поддерживая свои устройства Android и установленные приложения от надежных источников в актуальном состоянии.