Microsoft odkrywa nową lukę w zabezpieczeniach Androida, która dotyczy ponad 4 miliardów pobranych plików

Microsoft ostrzega użytkowników i programistów korzystających z Androida przed luką znalezioną w licznych aplikacjach na ten system, które są dostępne w sklepie Google Play. Luka ta potencjalnie dotyczy ponad 4 miliardów instalacji na całym świecie, jak ogłoszono w ostatnim raporcie.

Microsoft ujawnił nazwy dwóch najpopularniejszych aplikacji, których dotyczy wspomniany problem: WPS Office z ponad 500 milionami instalacji oraz Menedżer Plików Xiaomi Inc. z ponad miliardem instalacji. Obie firmy zostały powiadomione w lutym tego roku i od tego czasu naprawiły problem.

Według raportu zagrożenie może dotyczyć wielu innych aplikacji – łącznie 500 milionów zainstalowanych plików – ale nie podano konkretnych nazw.

Ta luka bezpieczeństwa nazwana atakiem „Dirty Stream” została zidentyfikowana w komponencie dostawcy treści, który umożliwia aplikacjom udostępnianie informacji. Luka w komponencie naraża aplikacje na ryzyko, ponieważ złośliwe podmioty mogą przejąć kontrolę nad aplikacją i uzyskać dostęp do tokenów użytkowników. Jak wyjaśnili eksperci Microsoft w ogłoszeniu z 1 maja, konsekwencje mogą się różnić i zależą od tego, jak aplikacje implementują komponent.

Google we współpracy z Microsoftem ujawniło tę lukę i udostępniło raport o zagrożeniach bezpieczeństwa na platformie Android Studio dla programistów, dostarczając więcej informacji i porad, jak unikać przyszłych luk i naprawiać obecne.

Ogłoszenie Microsoftu nie tylko stanowi ostrzeżenie dla potencjalnie miliardów osób, które mogą być zagrożone, ale także jest zaproszeniem do współpracy dla innych dużych firm z branży technologicznej i producentów oprogramowania w celu zapewnienia lepszego bezpieczeństwa aplikacji. Oświadczenie Microsoftu nie tylko zapewnia cenne wskazówki użytkownikom i programistom, ale także ma na celu „zobrazowanie znaczenia współpracy w celu poprawy bezpieczeństwa dla wszystkich”.

Raport Microsoftu zawiera również wskazówki dla użytkowników Androida, a najważniejszą z nich jest sugestia, by upewnić się, że w systemie zainstalowane są najbardziej aktualne wersje aplikacji.

Podzielono się również praktycznymi przykładami zagadnienia, wykorzystując jako punkt odniesienia Menedżer Plików Xiaomi. Raport wyjaśnia, jak złośliwa aplikacja może zachowywać się w skrajnych sytuacjach: „Oprócz pełnego dostępu do zewnętrznej pamięci urządzenia, aplikacja prosi o wiele uprawnień, w tym możliwość instalowania innych aplikacji”.

Mimo wszystko, jedyne co w tej sytuacji mogą zrobić użytkownicy, jak z resztą potwierdza Forbes, to monitorować sytuację, aktualizować zainstalowane aplikacje i stosować się do zaleceń Microsoftu: „Użytkownicy powinni instalować aplikacje tylko ze sprawdzonych źródeł, aby unikać potencjalnie złośliwego oprogramowania”.