Araştırmacılar, Google Play Store’da milyonlarca, hatta bir milyar kez indirilen bazı popüler Android uygulamalarının, ‘Kirli Akış Kusuru’ olarak adlandırılan, yol geçişiyle ilgili bir güvenlik açığına açık olduğunu keşfettiler.
Microsoft Tehdit İstihbaratı ekibi yakın zamanda yayımlanan raporda şunları belirtti: “Bu güvenlik açığı modelinin sonuçları arasında, uygulamanın uygulanmasına bağlı olarak keyfi kod yürütme ve simge hırsızlığı yer alıyor.”
Bu güvenlik açığının başarılı bir şekilde kullanılması, bir saldırganın uygulamanın davranışı üzerinde tam kontrol sahibi olmasına ve kurbanın çevrimiçi hesaplarına ve diğer verilerine yetkisiz erişim elde etmek için çalınan tokenlardan yararlanmasına olanak tanıyabilir.
Xiaomi Dosya Yöneticisi ve WPS Ofisi Kirli Akış Kusuruna Karşı Savunmasız
Hata, ContentProvider sınıfının bir alt sınıfı olan ve aralarında güvenli yalıtımı korurken farklı uygulamalar arasında dosya paylaşımını veya seçim yapmayı kolaylaştırmak için kullanılan Android FileProvider sınıfından kaynaklanıyor.
Doğru bir uygulama, uygulamalar arasında dosya paylaşımı için güvenilir bir çözüm sağlarken, uygunsuz bir uygulama, tipik okuma/yazma kısıtlamalarını aşmak veya Android içindeki kritik dosyaların üzerine yazmak için kullanılabilir.
Araştırmacılar, saldırıya karşı potansiyel olarak savunmasız olan ve toplamda 4 milyardan fazla indirmeyi temsil eden birkaç uygulama belirlerken, güvenlik açığının diğer uygulamalarda da mevcut olabileceğinden şüpheleniyorlar. Bir milyar indirmeye sahip Xiaomi Inc.’in Dosya Yöneticisi (com.mi. Android.globalFileexplorer) ve 500 milyondan fazla indirmeye sahip WPS Office (WPS Office (cn.wps.moffice_eng), belirlenen uygulamalar arasında öne çıkan iki örnektir.
Güvenlik açıkları, araştırmacılar tarafından Xiaomi, Inc. ve WPS Office güvenlik ekiplerine bildirildi. Ekipler, Şubat 2024’te Xiaomi’nin dosya yöneticisi uygulamasının V1-210593 sürümünü ve WPS Office’in 17.0.0 sürümünü yayınlayarak bu uygulamalar için düzeltmeler dağıttı. Kullanıcıların cihazlarını ve yüklü uygulamalarını güncel tutmaları tavsiye edilir.
Araştırmacı, araştırmanın yayınlanmasının ardındaki amacın geliştiricileri ve yayıncıları uygulamalarının etkilenip etkilenmediğini kontrol etmeye ve buna göre düzeltmeler yapmaya teşvik etmek olduğunu belirtti.
Kirli Akış Kusuru Üzerine Yazmaya ve Veri Sızmasına İzin Verebilir
Başarılı bir şekilde yararlanılması durumunda güvenlik açığı, bir saldırganın hedef uygulamanın yapılandırma dosyasının üzerine yazmasına ve onu saldırgan tarafından kontrol edilen bir sunucuyla iletişim kurmaya zorlamasına izin verebilir ve bu da potansiyel olarak hassas bilgilerin sızmasına ve rastgele komut yürütülmesine yol açabilir.
Bulguların arkasındaki araştırmacılar ayrıca Google ile işbirliği yaparak Android Geliştiricileri web sitesinde, Google’ın Android Uygulama Güvenliği ile olan ortaklığının takdir edildiğini belirten resmi bir kılavuz yayınladı.
Google tarafından yayınlanan Android geliştirici kılavuzu, geliştiricileri, dosya adı olarak dahili olarak oluşturulan benzersiz dosya adı tanımlayıcısı yerine sunucu uygulamaları tarafından sağlanan dosya adlarını göz ardı ederek, sunucu uygulaması tarafından sağlanan dosya adını doğru bir şekilde işlemeye teşvik eder ve dahili olarak bir temizleme kontrolü olması gerektiğini belirtir. sağlanan tanımlayıcılar mümkün değildi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Ekspres bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.