Microsoft otkrio novu sigurnosnu ranjivost u Androidu koja utječe na više od 4 milijarde preuzimanja

Microsoft upozorava korisnike i developere Androida na obrazac ranjivosti pronađen u više Android aplikacija u Google Play Storeu. Ranjivost potencijalno utječe na više od 4 milijarde instalacija širom svijeta, kako je objavljeno u nedavnom izvješću.

Microsoft je naveo i dvije najveće pogođene aplikacije: WPS Office s više od 500 milijuna instalacija i File Manager tvrtke Xiaomi Inc. s više od milijardu instalacija. Tvrtke su o navedenom obaviještene u veljači ove godine i u međuvremenu su riješile problem.

U izvješću se priznaje da je moguće da su pogođene i mnoge druge aplikacije preuzimane više od 500 milijuna puta, ali nijedna nije posebno navedena.

Ovaj sigurnosni propust nazvan “Dirty Stream” napad identificiran je u komponenti pružatelja sadržaja koja aplikacijama omogućuje dijeljenje informacija. Ranjivost u ovoj komponenti izlaže aplikacije riziku jer zlonamjerni akteri mogu preuzeti kontrolu nad aplikacijom i pristupiti korisničkim tokenima. Kao što su objasnili Microsoftovi stručnjaci u najavi od 1. svibnja, posljedice mogu varirati i ovise o načinu na koji aplikacije implementiraju komponentu.

Google je otkrio ovu ranjivost u suradnji s Microsoftom i podijelio izvješće o sigurnosnim rizicima na platformi za developere Android Studio. Uz to je pružio više informacija i savjeta o tome kako izbjeći buduće i riješiti trenutne ranjivosti.

Microsoftova najava djeluje i kao upozorenje potencijalnim milijardama ljudi koji bi mogli biti pogođeni, ali i kao poziv drugim velikim tehnološkim tvrtkama i developerima aplikacija da zajedno rade na poboljšanju sigurnosti aplikacija u cijeloj industriji. U Microsoftovoj izjava navedeno je da, osim što nudi smjernice korisnicima i developerima aplikacija, također namjerava “ilustrirati važnost suradnje za poboljšanje sigurnosti za sve”.

Microsoftovo izvješće također nudi smjernice za korisnike Androida, a glavni prijedlog je provjeriti jesu li trenutno instalirane najnovije verzije aplikacija.

Tvrtka također dijeli praktične primjere problema koristeći studiju slučaja koja uključuje Xiaomi Inc.-ov File Manager kao referencu. Objašnjava kako bi se zlonamjerna aplikacija mogla ponašati u ozbiljnim scenarijima: “Osim što ima puni pristup vanjskoj memoriji uređaja, aplikacija traži velik broj dopuštenja, uključujući mogućnost instalacije drugih aplikacija”.

Ipak, kao što Forbes također potvrđuje, ne postoji ništa što korisnici mogu učiniti osim ostati informirani, ažurirati svoje aplikacije i slijediti Microsoftove preporuke: “Kako bi izbjegli potencijalno zlonamjerne aplikacije, korisnici bi trebali instalirati aplikacije samo iz pouzdanih izvora”.