Microsoft’tan araştırmacılar yakın zamanda birçok Android uygulamasının (her biri 500 milyonun üzerinde kuruluma sahip en az dört tanesi dahil) ortak bir güvenlik zayıflığı nedeniyle uzaktan kod yürütme saldırılarına, simge hırsızlığına ve diğer sorunlara karşı savunmasız olduğunu keşfetti.
Microsoft, Google’ın Android güvenlik araştırma ekibini sorun hakkında bilgilendirdi ve Google bu sorunu yayınladı. Android uygulama geliştiricileri için yeni rehberlik Sorunun nasıl tanınacağı ve düzeltileceği hakkında.
Milyarlarca Kurulum Risk Altında
Microsoft ayrıca bulgularını Google Play Store’daki etkilenen Android uygulamalarının satıcılarıyla da paylaştı. Bunlar arasında Xiaomi Inc.’in 1 milyardan fazla kuruluma sahip Dosya Yöneticisi ürünü ve yaklaşık 500 milyon indirme sayısına sahip WPS Office de vardı.
Microsoft, her iki ürünün satıcılarının da sorunu zaten çözdüğünü söyledi. Ancak aynı güvenlik zayıflığı nedeniyle kötüye kullanılması ve tehlikeye atılması muhtemel daha fazla uygulama olduğuna inanıyor. Microsoft’un tehdit istihbarat ekibi, “Güvenlik açığı modelinin diğer uygulamalarda da bulunabileceğini tahmin ediyoruz” dedi: bir blog yazısında Bu hafta. “Geliştiricilerin ve yayıncıların uygulamalarında benzer sorunlar olup olmadığını kontrol edebilmeleri, uygun şekilde düzeltebilmeleri ve yeni yazılımların tanıtılmasını önleyebilmeleri için bu araştırmayı paylaşıyoruz. bu tür güvenlik açıkları yeni uygulamalara veya sürümlere aktarın.”
Microsoft’un keşfettiği sorun şunları etkiler: Android uygulamaları Dosyaları diğer uygulamalarla paylaşan. Microsoft, paylaşımı güvenli bir şekilde kolaylaştırmak için Android’in, temelde bir uygulamanın verilerini yönetmek ve bir cihazdaki diğer yüklü uygulamalara göstermek için bir arayüz görevi gören “içerik sağlayıcı” adı verilen bir özelliği uyguladığını söyledi. Dosyalarını paylaşması gereken bir uygulama veya Android konuşmasındaki bir dosya sağlayıcı, diğer uygulamaların verilere ulaşmak için kullanabileceği belirli yolları bildirir. Dosya sağlayıcıları ayrıca diğer uygulamaların onları bir sistemde bulmak için adres olarak kullanabileceği bir tanımlayıcı özellik içerir.
Kör Güven ve İçerik Doğrulaması Eksikliği
Microsoft, “Bu içerik sağlayıcı tabanlı model, iyi tanımlanmış bir dosya paylaşım mekanizması sağlayarak, hizmet veren uygulamanın dosyalarını hassas bir kontrolle diğer uygulamalarla güvenli bir şekilde paylaşmasına olanak tanıyor” dedi. Ancak çoğu durumda bir Android uygulaması başka bir uygulamadan dosya aldığında içeriği doğrulamaz. “En önemlisi, alınan dosyayı tüketen uygulamanın dahili veri dizininde önbelleğe almak için hizmet veren uygulama tarafından sağlanan dosya adını kullanıyor.”
Microsoft, bu durumun saldırganlara, kötü amaçlı bir dosya adına sahip bir dosyayı kullanıcının bilgisi veya onayı olmadan doğrudan alıcı bir uygulamaya veya dosya paylaşım hedefine gönderebilecek hileli bir uygulama oluşturma olanağı sağladığını söyledi. Tipik dosya paylaşım hedefleri arasında e-posta istemcileri, mesajlaşma uygulamaları, ağ uygulamaları, tarayıcılar ve dosya düzenleyiciler bulunur. Microsoft, bir paylaşım hedefi kötü amaçlı bir dosya adı aldığında, dosyayı başlatmak ve uygulamanın tehlikeye girmesiyle sonuçlanabilecek bir süreci tetiklemek için dosya adını kullandığını söyledi.
Potansiyel etki, Android uygulamasının uygulama özelliklerine bağlı olarak değişecektir. Bazı durumlarda bir saldırgan, kötü amaçlı bir uygulama kullanarak alıcı uygulamanın ayarlarının üzerine yazabilir ve bu uygulamanın saldırgan tarafından kontrol edilen bir sunucuyla iletişim kurmasına veya uygulamayı paylaşmasına neden olabilir. kullanıcının kimlik doğrulama belirteçleri ve diğer veriler. Diğer durumlarda, kötü amaçlı bir uygulama, rastgele kod yürütülmesini sağlamak için alıcı uygulamanın yerel kitaplığına kötü amaçlı kodun üzerine yazabilir. Microsoft, “Hileli uygulama dosyanın içeriğini olduğu kadar adını da kontrol ettiğinden, bu girişe körü körüne güvenerek, bir paylaşım hedefi kendi özel veri alanındaki kritik dosyaların üzerine yazabilir ve bu da ciddi sonuçlara yol açabilir” dedi.
Hem Microsoft hem de Google, geliştiricilere bu sorunun nasıl önlenebileceği konusunda ipuçları sağladı. Bu arada son kullanıcılar, Android uygulamalarının güncel olmasını sağlayarak ve yalnızca güvenilir kaynaklardan gelen uygulamaları yükleyerek riski azaltabilir.