კიბერუსაფრთხოების გიგანტმა Trend Micro-მ აღმოაჩინა უსაფრთხოების აშკარა დაუცველობა Android-ის აპში ShareIt, რომელიც საფრთხეს უქმნის თქვენს მგრძნობიარე მონაცემებს.
თუ იყენებთ ShareIt აპს თქვენს ტელეფონზე, შეიძლება დაგჭირდეთ მისი დაუყოვნებლივ დეინსტალაცია. კიბერუსაფრთხოების გიგანტი Trend Micro აღმოაჩინა უსაფრთხოების აშკარა ხარვეზები ფაილების გაზიარების აპში, რომელიც შეიძლება იყოს "ბოროტად გამოიყენეს მომხმარებლის სენსიტიური მონაცემების გაჟონვა და თვითნებური კოდის შესრულება ShareIt ნებართვებით."
Ში ანგარიში საკითხზე, Trend Micro გამოავლინა (მეშვეობით Ars Technica) რომ ShareIt-ს აქვს წვდომა უამრავზე ნებართვები Android-ზე მისი ფუნქციონირების გამო. აპს შეუძლია წვდომა მთელ მეხსიერებაზე და ყველა მედიაზე, გამოიყენოს კამერა და მიკროფონი, მდებარეობის ინფორმაციაზე წვდომა და მრავალი სხვა. მას შეუძლია სხვა აპების წაშლა, გაშვების დროს გაშვება, ანგარიშების შექმნა და პაროლების დაყენება. გარდა ამისა, ShareIt-ს ასევე აქვს სრული წვდომა ქსელში. ნებართვების ამ ვრცელი სიის გამო, აპლიკაციის კომპრომეტირებამ შეიძლება დაეხმაროს თავდამსხმელებს მიიღონ თითქმის სრული წვდომა თქვენს ტელეფონზე და ყველა თქვენს სენსიტიურ ინფორმაციას. ის ასევე საშუალებას აძლევს თავდამსხმელებს დისტანციურად შეასრულონ მავნე კოდი.
ერთ-ერთი დაუცველობის შემუშავება, Ars Technica ცხადყოფს, რომ ShareIt-ს აქვს ერთი Android აპის საერთო დაუცველობა რომელსაც შეუძლია თავდამსხმელებს მისცეს წაკითხვის/ჩაწერის წვდომა მის ყველა ფაილზე. გამოცემა აღნიშნავს: „Android ამაყობს აპლიკაციის შიგნით კომუნიკაციით, ნაწილობრივ იმიტომ, რომ ნებისმიერ აპს შეუძლია შექმნას კონტენტის პროვაიდერი და მიაწოდოს თავისი შინაარსი და სერვისები სხვა აპებს. თუ Gmail-ს სურს ფაილის მიმაგრება ელფოსტაზე, მას შეუძლია ამის გაკეთება თქვენს ტელეფონზე დაინსტალირებული ფაილების კონტენტის ხელმისაწვდომი პროვაიდერების სიის ჩვენებით (ეს არის ძირითადად "გახსნას" დიალოგური ფანჯარა), და მომხმარებელს შეუძლია აირჩიოს თავისი საყვარელი ფაილების მენეჯერი, ნავიგაცია მოახდინოს საცავში და გადასცეს ფაილი, რომელიც მას სურს. Gmail. დეველოპერებს ევალებათ გაასუფთავონ აპლიკაციების ჯვარედინი შესაძლებლობები და გამოავლინონ მხოლოდ ფაილების მენეჯერის საჭირო შესაძლებლობები Gmail-ისთვის და სხვა აპებისთვის."
თუმცა, დეველოპერები, რომლებიც დგანან ShareI-ზე, არ უფიქრიათ აპლიკაციის კონტენტის მიმწოდებლის შესაძლებლობების შეზღუდვის შესახებ, რაც თავდამსხმელებს შეუძლია წვდომა მისცეს ShareI-ის "პირადი" დირექტორიაში არსებულ ყველა ფაილზე. ფაქტობრივად, ეს დაუცველობა საშუალებას აძლევს თავდამსხმელებს დაურეკონ ShareI-ს ფაილური შინაარსის პროვაიდერს და გადასცენ მას ფაილის გზა, რათა მიიღონ წვდომა მის ყველა მონაცემთა ფაილზე. ეს საშუალებას აძლევს მესამე მხარის აპებს შეცვალონ მონაცემები, რომელსაც ShareIt იყენებს გასაშვებად, ინსტალაციისა და მუშაობის დროს გენერირებული აპლიკაციის ქეშის ჩათვლით. Trend Micro ამტკიცებს, რომ "თავდამსხმელს შეუძლია შექმნას ყალბი ფაილი, შემდეგ შეცვალოს ეს ფაილები ზემოაღნიშნული დაუცველობის მეშვეობით, რათა შეასრულოს კოდის შესრულება."
ვინაიდან ShareI-ს ასევე აქვს Android აპლიკაციის ინსტალერი, ის ასევე მგრძნობიარეა "Man-in-the-disk" თავდასხმის მიმართ. ზემოთ ნახსენები დაუცველობის გამო, თავდამსხმელებს აქვთ შესაძლებლობა შეცვალონ საინსტალაციო პაკეტები მავნე აპით, როგორც კი ისინი ჩამოტვირთულია. ამან შეიძლება გამოიწვიოს მომხმარებლები დაინსტალირონ მავნე აპლიკაციები მათ მოწყობილობებზე გაუცნობიერებლად. გარდა ამისა, ShareI-ს თამაშების მაღაზიას აქვს აპის მონაცემების ჩამოტვირთვა დაუცველი HTTP-ით. ეს შეიძლება დაექვემდებაროს "ადამიანი შუაში" შეტევას. როგორც Ars Technica განმარტავს, "ShareI დარეგისტრირდება, როგორც დამმუშავებელი ნებისმიერი ბმულისთვის, რომელიც ამთავრებს მის დომენებს, როგორიცაა "wshareit.com" ან "gshare.cdn.shareitgames.com", და ის ავტომატურად გამოჩნდება, როდესაც მომხმარებლები დააწკაპუნებენ ჩამოტვირთვის ბმულზე. აპლიკაციების უმეტესობა აიძულებს მთელ ტრაფიკს HTTPS-ზე, მაგრამ ShareI არა. Chrome დახურავს HTTP ჩამოტვირთვის ტრაფიკს, ასე რომ, ეს უნდა გაკეთდეს ვებ ინტერფეისის მეშვეობით, გარდა მთავარი ბრაუზერის.
Trend Micro-მ უკვე შეატყობინა დაუცველობის შესახებ ShareI-ს, მაგრამ მის დეველოპერებს ჯერ არ გამოუქვეყნებიათ რაიმე პატჩები პრობლემების გადასაჭრელად. ჩვენ გირჩევთ აპის დეინსტალაციას, სანამ დეველოპერები არ გამოსწორდებიან. მანამდე კი შეგიძლიათ Google-ის გამოყენება ფაილების აპლიკაცია თქვენი ადგილობრივი ფაილების გაზიარების საჭიროებისთვის.
ფასი: უფასო.
4.2.