Популярні програми на смартфонах Xiaomi, Redmi та Poco виявилися небезпечними

Кілька популярних програм для Android, доступних у Google Play Store, мають певні небезпечні вразливості. Зокрема, вони не мають захисту так званого Dirty Stream Attack: це шлях, який використовують шкідливі програми для перезапису файлів.

Про це повідомила команда Microsoft Threat Intelligence у своєму звіті.

«Наслідки цієї моделі вразливості включають довільне виконання коду та крадіжку маркерів, залежно від реалізації програми», — сказав Дімітріос Валсамарас, представник команди.

Ця вразливість може дозволити зловмисникам отримати повний контроль над програмою та використати вкрадені дані для отримання несанкціонованого доступу до онлайн-акаунтів жертви.

Серед програм, які визнані вразливими, опинилися:

• Файловий менеджер Xiaomi (com.mi. Android.globalFileexplorer) – понад 1 мільярд встановлень.
• WPS Office (cn.wps.moffice_eng) – понад 500 мільйонів встановлень.

Проблема полягає в тому, що розробники з Xiaomi не впровадили в додатки стандартний для Android інструмент перевірки безпеки вхідних файлів.

«Ми часто стикалися з випадками, коли програма-споживач не перевіряє вміст файлу, який вона отримує, і, що найбільше занепокоєно, вона використовує ім’я файлу, надане програмою-обслуговувачем, для кешування отриманого файлу у внутрішньому каталозі даних програми-споживача», – пояснюють фахівці.

Інакше кажучи, програма-споживач сліпо довіряє наданим їй даним і пересилає хакерам корисні дані з певним іменем файлу без відома або згоди користувача.

Як наслідок, це може дозволити зловмиснику перезаписати файл спільних налаштувань цільової програми та змусити його обмінюватися даними з сервером під їхнім контролем, щоб отримати конфіденційну інформацію.

Інший сценарій передбачає програми, які завантажують рідні бібліотеки з власного каталогу даних (замість «/data/app-lib»), і в цьому випадку шахрайська програма може використати вищезгадану слабкість, щоб перезаписати рідну бібліотеку шкідливим кодом, який виконується, коли бібліотека завантажується.

Після відповідального розголошення як Xiaomi, так і WPS Office виправили проблему станом на лютий 2024 року. Проте Microsoft заявила, що проблема може бути більш поширеною, вимагаючи від розробників вживати заходів для перевірки своїх програм на наявність подібних проблем.

Google також опублікував власні вказівки з цього приводу, закликаючи розробників належним чином обробляти ім’я файлу, надане серверною програмою.

«Коли клієнтська програма записує отриманий файл у сховище, вона повинна ігнорувати ім’я файлу, надане серверною програмою, і замість цього використовувати власний внутрішньо згенерований унікальний ідентифікатор як ім’я файлу», — заявили в Google. «Якщо генерація унікального імені файлу непрактична, клієнтська програма має очистити надане ім’я файлу».

Підпишись на нас в Google НОВИНИ, та отримуй більше свіжих новин!