Microsoft открива нова уязвимост в Android, засягаща над 4 милиарда изтегляния

Microsoft предупреждава потребителите и разработчиците на Android за уязвимост, откритa в множество приложения за Android в Google Play Store. Уязвимостта потенциално засяга над 4 милиарда изтегляния по цял свят, както беше обявено в неотдавнашен доклад.

Сред засегнатите приложения, Microsoft разкри две от най-големите: WPS Office, с над 500 милиона изтегляния, и File Manager на Xiaomi Inc. с над 1 милиард изтегляния. Двете компании бяха информирани през февруари тази година и оттогава са отстранили проблема.

Докладът признава, че много други приложения, с общо над 500 милиона изтегляния, може да бъдат засегнати – но нито едно не е назовано конкретно.

Този пробив в сигурността, наречен атака „Dirty Stream“, е идентифициран в компонент от доставчик на съдържание, който позволява на приложенията да споделят информация. Уязвимостта в компонента поставя приложенията в риск, защото злонамерени субекти могат да поемат контрол и да получат достъп до потребителски токени. Както обясниха експертите на Microsoft в изявлението от 1 май, последствията може да варират и зависят от това как приложенията внедряват компонента.

Google, в сътрудничество с Microsoft, разкри тази уязвимост и сподели доклад за рисковете в сигурността на платформата Android Studio за разработчици. Там е предоставена повече информация и съвети как да се избегнат бъдещи и да се отстранят настоящи проблеми.

Съобщението на Microsoft действа не само като предупреждение към потенциално милиардите засегнати, но и като покана към други големи технологични компании и разработчици на приложения да работят заедно, за да осигурят по-добра защита на приложенията в цялата индустрия. Заявлението на Microsoft не само предоставя насоки на потребителите и разработчиците на приложения, но също така има за цел да „илюстрира значението на сътрудничеството за подобряване на сигурността на всички“.

Докладът на Microsoft също така дава насоки на потребителите на Android. Най-голямата препоръка е всички да се уверят, че най-новите версии на приложенията са инсталирани.

Също така се споделят практически примери за проблема, с помощта на случайно проучване, включващо File Manager на Xiaomi Inc. като референция. Обяснява се как едно злонамерено приложение може да се държи в по-тежки случаи: „Освен че има пълен достъп до външната памет на устройството Ви, то иска множество разрешения, включително позволение да инсталира други приложения.“

Но както Forbes също потвърждава, няма нищо, което потребителите могат да направят, освен да останат информирани, да поддържат приложенията си актуални и да следват препоръките на Microsoft: „Потребителите трябва да инсталират приложения само от надеждни източници, за да избегнат потенциално злонамерения софтуер.“