Google Play Store’da bulunan bazı popüler Android uygulamaları, kötü amaçlı bir uygulamanın, güvenlik açığı bulunan uygulamanın ana dizinindeki rastgele dosyaların üzerine yazmak için kullanabileceği, yol geçişiyle bağlantılı bir güvenlik açığına karşı hassastır.
Microsoft Tehdit İstihbaratı ekibinden Dimitrios Valsamaras Çarşamba günü yayınlanan bir raporda, “Bu güvenlik açığı modelinin sonuçları arasında, uygulamanın uygulanmasına bağlı olarak keyfi kod yürütme ve token hırsızlığı yer alıyor” dedi.
Başarılı bir şekilde istismar edilmesi, bir saldırganın uygulamanın davranışı üzerinde tam kontrol sahibi olmasına ve kurbanın çevrimiçi hesaplarına ve diğer verilerine yetkisiz erişim elde etmek için çalınan tokenlardan yararlanmasına olanak tanıyabilir.
Soruna karşı savunmasız olduğu tespit edilen uygulamalardan ikisi şunlardır:
- Xiaomi Dosya Yöneticisi (com.mi. Android.globalFileexplorer) – 1 milyardan fazla yükleme
- WPS Office (cn.wps.moffice_eng) – 500 milyondan fazla yükleme
Android, her uygulamaya kendi özel veri ve bellek alanını atayarak izolasyon uygularken, uygulamalar arasında veri ve dosya paylaşımını güvenli bir şekilde kolaylaştırmak için içerik sağlayıcı adı verilen bir şey sunar. Ancak uygulama gözetimi, bir uygulamanın ana dizini içindeki okuma/yazma kısıtlamalarının atlanmasına olanak sağlayabilir.
Valsamaras, “Bu içerik sağlayıcı tabanlı model, iyi tanımlanmış bir dosya paylaşım mekanizması sağlayarak, hizmet veren uygulamanın dosyalarını diğer uygulamalarla güvenli bir şekilde ayrıntılı bir kontrolle paylaşmasına olanak tanıyor” dedi.
“Ancak, tüketen uygulamanın aldığı dosyanın içeriğini doğrulamadığı ve en önemlisi, alınan dosyayı tüketen uygulamanın dahili veri dizininde önbelleğe almak için hizmet veren uygulama tarafından sağlanan dosya adını kullandığı durumlarla sık sık karşılaştık. “
Hizmet veren bir uygulama, uygulamalar arasında dosya paylaşımını etkinleştirmek için FileProvider sınıfının kötü amaçlı bir sürümünü bildirdiğinde ve sonuçta tüketen uygulamanın özel veri alanındaki kritik dosyaların üzerine yazmasına neden olduğunda, bu tuzağın ciddi sonuçları olabilir.
Başka bir deyişle mekanizma, tüketen uygulamanın, özel, açık bir amaç aracılığıyla ve kullanıcının bilgisi veya rızası olmadan, belirli bir dosya adı ile rastgele veriler göndermek için girdiye körü körüne güvenmesi ve bunun sonucunda kod yürütülmesine yol açması gerçeğinden yararlanır.
Sonuç olarak bu, saldırganın hedef uygulamanın paylaşılan tercihler dosyasının üzerine yazmasına ve hassas bilgileri sızdırmak için uygulamanın kendi kontrolü altındaki bir sunucuyla iletişim kurmasını sağlamasına olanak tanıyabilir.
Başka bir senaryo, yerel kitaplıkları kendi veri dizininden (“/data/app-lib” yerine) yükleyen uygulamaları içerir; bu durumda hileli bir uygulama, yerel kitaplığın üzerine kötü amaçlı kod yazmak için yukarıda belirtilen zayıflıktan yararlanabilir. kütüphane yüklendi.
Sorumlu bir açıklamanın ardından, hem Xiaomi hem de WPS Office sorunu Şubat 2024 itibarıyla düzeltti. Ancak Microsoft, sorunun daha yaygın olabileceğini ve geliştiricilerin uygulamalarını benzer sorunlar açısından kontrol etmek için adımlar atmasını gerektirebileceğini söyledi.
Google ayrıca konuyla ilgili kendi kılavuzunu da yayınlayarak geliştiricilere sunucu uygulaması tarafından sağlanan dosya adını doğru şekilde kullanmalarını önerdi.
Google, “İstemci uygulaması alınan dosyayı depoya yazdığında, sunucu uygulaması tarafından sağlanan dosya adını göz ardı etmeli ve bunun yerine dosya adı olarak kendi dahili olarak oluşturulan benzersiz tanımlayıcısını kullanmalıdır” dedi. “Benzersiz bir dosya adı oluşturmak pratik değilse, istemci uygulamasının sağlanan dosya adını temizlemesi gerekir.”