Microsoft виявила нову вразливість Android, що впливає на понад 4 мільярди завантажень

Microsoft попереджає користувачів і розробників Android про зразок уразливості, виявлений у кількох програмах Android у Google Play Store. Уразливість потенційно впливає на понад 4 мільярди встановлень по всьому світу, як було оголошено в останньому звіті.

Серед уражених додатків Microsoft розкрила два найбільші: WPS Office з понад 500 мільйонами встановлень і Проводник Xiaomi Inc. з понад 1 мільярдом встановлень. Дві компанії були проінформовані в лютому цього року і відтоді вирішили проблему.

У звіті визнається, що багато інших додатків, які становлять понад 500 мільйонів встановлень, можуть бути уражені, але жоден із них не названий конкретно.

Це порушення безпеки під назвою «атака Dirty Stream» було виявлено в компоненті постачальника вмісту, який дозволяє додаткам обмінюватися інформацією. Вразливість у компоненті піддає додатки ризику, оскільки зловмисники можуть взяти під контроль додаток і отримати доступ до токенів користувачів. Як пояснили експерти Microsoft в оголошенні від 1 травня, наслідки можуть варіюватися і залежать від того, як додатки реалізують компонент.

Google у співпраці з Microsoft виявила цю вразливість і поділилася звітом про ризики безпеки на платформі Android Studio для розробників, надаючи більше інформації та порад щодо того, як уникнути майбутніх уразливостей і виправити поточні.

Оголошення Microsoft діє не тільки як попередження для потенційних мільярдів людей, які можуть бути уражені, але й як запрошення до інших великих технологічних компаній і розробників додатків працювати разом, щоб забезпечити кращу безпеку додатків у всій галузі. У заяві компанії Microsoft говориться, що вона не тільки надає керівництво користувачам і розробникам додатків, але й має на меті «показати важливість співпраці для підвищення безпеки для всіх».

Звіт Microsoft також надає вказівки для користувачів Android, найбільша рекомендація полягає в тому, щоб переконатися, що на даний момент встановлені останні версії додатків.

Компанія також ділиться практичними прикладами проблеми, посилаючись на дослідження випадку з Провідником Xiaomi Inc. Пояснюється, як зловмисний додаток може діяти в серйозних ситуаціях: «Крім повного доступу до зовнішнього сховища пристрою, додаток запитує багато дозволів, включаючи можливість встановлення інших додатків».

З усього сказаного, як також підтверджує Forbes, випливає, що користувачі не можуть нічого зробити, крім як залишатися поінформованими, оновлювати свої додатки і слідувати рекомендаціям Microsoft: «Користувачі повинні встановлювати додатки тільки з надійних джерел, щоб уникнути потенційно зловмисних додатків».