A Microsoft felfedez egy új Androidos biztonsági rést, amely több mint 4 milliárd letöltést érint

A Microsoft egy sebezhetőségi mintára figyelmezteti az Android felhasználókat és fejlesztőket, amelyet több Android alkalmazásban is megtaláltak a Google Play Áruházban. Ez a sebezhetőség potenciálisan több mint 4 milliárd telepítést érint világszerte, amint azt egy nemrégiben közzétett jelentésben közölték.

Az érintett alkalmazások közül a Microsoft kettőt emelt ki, amelyek közül az egyik a WPS Office több mint 500 millió telepítéssel, a másik pedig a Xiaomi Inc. fájlkezelője több mint 1 milliárd telepítéssel. A két vállalatot idén februárban értesítették, és azóta már kijavították a problémát.

A jelentésben elismerik, hogy sok más alkalmazás is érintett lehet, amelyek több mint 500 millió telepítést tesznek ki, de egyikük sincs konkrétan megnevezve.

Ezt a biztonsági rést, amelyet “Dirty Stream” támadásnak neveztek, egy tartalomszolgáltató komponensben azonosították, amely lehetővé teszi az alkalmazások számára az információmegosztást. A komponens sérülékenysége veszélyezteti az alkalmazásokat, mert a rosszindulatú szereplők átvehetik az alkalmazás irányítását és hozzáférhetnek a felhasználói tokenekhez. Ahogy a Microsoft szakértői az 1. májusi bejelentésben elmagyarázták, a következmények változhatnak, és attól függnek, hogyan hajtják végre az alkalmazások az említett komponenst.

A Google a Microsofttal együttműködve tárta fel ezt a sebezhetőséget, és megosztott egy biztonsági kockázati jelentést az Android Studio platformon a fejlesztők számára, amely további információkat és tanácsokat nyújt arról, hogyan kerülhetik el a jövőbeli sebezhetőségeket és javíthatják ki a már meglévőket.

A Microsoft bejelentése nemcsak figyelmeztetésként szolgál a potenciálisan érintett emberek milliárdjai számára, hanem felhívásként is a többi nagy technológiai vállalat és alkalmazásfejlesztő számára, hogy működjenek együtt az egész iparágban a jobb alkalmazás-biztonság érdekében. A Microsoft nyilatkozata szerint nemcsak útmutatást nyújtanak az alkalmazások felhasználóinak és fejlesztőinek, hanem “szemléltetni kívánják az együttműködés fontosságát a biztonság javítása érdekében”.

A Microsoft jelentése útmutatást is nyújt az Android felhasználók számára, és a legfontosabb javaslat az, hogy megbizonyosodjanak róla, hogy mindig az alkalmazások legújabb verziói vannak telepítve.

Gyakorlati példákat is megoszt a problémáról, egy Xiaomi Inc. fájlkezelőjét magában foglaló esettanulmány segítségével. Elmagyarázza, hogyan viselkedhet egy rosszindulatú alkalmazás súlyos helyzetekben: “Amellett, hogy teljes hozzáférést biztosít az eszköz külső tárhelyéhez, az alkalmazás számos engedélyt kér, beleértve más alkalmazások telepítésének lehetőségét is.”

Mindezekkel együtt, ahogy azt a Forbes is megerősíti, a felhasználók nem tehetnek mást, mint hogy tájékozottak maradnak, naprakészen tartják az alkalmazásaikat és követik a Microsoft ajánlásait: “A felhasználóknak csak megbízható forrásokból származó alkalmazásokat szabad telepíteniük, hogy elkerüljék a potenciálisan rosszindulatú alkalmazásokat.”