Kyberturvallisuusjätti Trend Micro on havainnut Androidin ShareIt-sovelluksessa räikeitä tietoturva-aukkoja, jotka vaarantavat arkaluontoiset tietosi.
Jos käytät puhelimessasi ShareIt-sovellusta, haluat ehkä poistaa sen heti. Kyberturvallisuuden jättiläinen Trend Micro on havainnut räikeitä tietoturva-aukkoja tiedostonjakosovelluksessa, joita voi olla "Väärinkäytetään käyttäjän arkaluontoisten tietojen vuotamiseen ja mielivaltaisen koodin suorittamiseen ShareIt-oikeuksilla."
Jonkin sisällä raportti asiasta, Trend Micro on paljastanut (kautta Ars Technica), jotka ShareItillä on pääsy lukemattomiin luvat Androidilla sen tarjoamien toimintojen vuoksi. Sovellus voi käyttää koko tallennustilaa ja kaikkea mediaa, käyttää kameraa ja mikrofonia, käyttää sijaintitietoja ja paljon muuta. Se voi jopa poistaa muita sovelluksia, toimia käynnistyksen yhteydessä, luoda tilejä ja asettaa salasanoja. Lisäksi ShareItillä on myös täydellinen verkkoyhteys. Tämän laajan käyttöoikeusluettelon ansiosta sovelluksen vaarantaminen voi auttaa hyökkääjiä saamaan lähes täydellisen pääsyn puhelimeesi ja kaikkiin arkaluontoisiin tietoihisi. Se antaa myös hyökkääjille mahdollisuuden suorittaa haitallista koodia etänä.
Tarkastellaan yhtä haavoittuvuuksista, Ars Technica paljastaa, että ShareItillä on sellainen yleinen Android-sovellusten haavoittuvuus joka voi antaa hyökkääjille luku-/kirjoitusoikeuden kaikkiin sen tiedostoihin. Julkaisussa huomautetaan: "Android on ylpeä sovelluksen sisäisestä viestinnästä, osittain siksi, että mikä tahansa sovellus voi luoda sisällöntuottajan ja tarjota sisältöään ja palvelujaan muille sovelluksille. Jos Gmail haluaa liittää tiedoston sähköpostiin, se voi tehdä sen näyttämällä luettelon puhelimeesi asennetuista käytettävissä olevista tiedostosisällöntarjoajista (se on pohjimmiltaan "avaa kanssa" -valintaikkuna), ja käyttäjä voi valita suosikkitiedostonhallinnan, selata tallennustilaa ja välittää haluamansa tiedoston Gmail. Kehittäjien tehtävänä on puhdistaa nämä sovellustenväliset ominaisuudet ja paljastaa vain tarvittavat tiedostonhallintaominaisuudet Gmailille ja muille sovelluksille."
ShareIt: n takana olevat kehittäjät eivät kuitenkaan ole juurikaan ajatelleet rajoittaa sovelluksen sisällöntarjoajan ominaisuuksia, mikä voi antaa hyökkääjille pääsyn kaikkiin ShareIt: n "yksityisen" hakemiston tiedostoihin. Käytännössä tämän haavoittuvuuden ansiosta hyökkääjät voivat käyttää ShareIt: n tiedostosisällön toimittajaa ja välittää sille tiedostopolun päästäkseen käsiksi kaikkiin sen tietotiedostoihin. Näin kolmannen osapuolen sovellukset voivat muokata ShareIt: n suorittamiseen käyttämiä tietoja, mukaan lukien asennuksen ja ajon aikana luotua sovellusvälimuistia. Trend Micro väittää että "Hyökkääjä voi luoda väärennetyn tiedoston ja korvata ne sitten edellä mainitun haavoittuvuuden kautta koodin suorittamiseksi."
Koska ShareIt sisältää myös Android-sovelluksen asennusohjelman, se on myös altis "Man-in-the-disk" -hyökkäykselle. Yllä mainitun haavoittuvuuden vuoksi hyökkääjät voivat vaihtaa asennuspaketteja haitallisen sovelluksen kanssa heti, kun ne on ladattu. Tämä voi saada käyttäjät asentamaan haitallisia sovelluksia laitteilleen tietämättään. Lisäksi ShareIt: n pelikaupassa on mahdollisuus ladata sovellustietoja suojaamattoman HTTP: n kautta. Tämä voi joutua "Man-in-the-middle" -hyökkäyksen kohteeksi. Kuten Ars Technica selittää, "ShareIt rekisteröi itsensä käsittelijäksi kaikille linkeille, jotka päättävät sen verkkotunnukset, kuten "wshareit.com" tai "gshare.cdn.shareitgames.com", ja se tulee automaattisesti näkyviin, kun käyttäjät napsauttavat latauslinkkiä. Useimmat sovellukset pakottavat kaiken liikenteen HTTPS: ään, mutta ShareIt ei. Chrome sulkee HTTP-latausliikenteen, joten tämä olisi tehtävä muun verkkoliittymän kuin pääselaimen kautta."
Trend Micro on jo ilmoittanut haavoittuvuuksista ShareItille, mutta sen kehittäjät eivät ole toistaiseksi julkaisseet korjaustiedostoja ongelmien ratkaisemiseksi. Suosittelemme sovelluksen poistamista, kunnes kehittäjät korjaavat sen. Siihen asti voit käyttää Googlea Tiedostot-sovellus kaikkiin paikallisiin tiedostojenjakotarpeihisi.
Hinta: Ilmainen.
4.2.