:

Szerző: Hlács Ferenc

2021. február 16. 12:11

Kritikus bugok az egyik népszerű, androidos fájlmegosztóban

A több mint egymilliárd alkalommal telepített SHAREit bő három hónapja nem javított bugjai a kártevők előtt is utat nyithatnak.

Masszív felhasználóbázissal rendelkező androidos alkalmazásban bukkantak kritikus sebezhetőségekre a Trend Micro biztonsági cég szakértői - amelyeket a fejlesztők nem sietnek orvosolni. A keresztplatformos fájlmegosztást célzó SHAREit alkalmazás a Play Store-ban több mint egymilliárd telepítést tudhat magáénak.

A sérülékenységeket felfedező kutatók szerint azok birtokában a támadók potenciálisan érzékeny felhasználói adatokhoz is hozzáférhetnek, illetve a SHAREit app jogosultságaival tetszőleges kódfuttatásra is lehetőségük nyílik. Mindezek mellett a biztonsági rések akár az illetéktelen, távoli kódvégrehajtás előtt is megnyithatják az eszközök kapuit.

swbugill

A helyzetet súlyosbítja az app "deep link" funkciója, amellyel bizonyos URL sémákra támaszkodó doménekről fájlok tölthetők le - de a megoldás akár APK fájlok telepítését is lehetővé teszi. Miután a letöltések nem csak HTTPS, de mezei HTTP protokollon keresztül is elvégezhetők, egy közbeékelődéses támadással kártékony alkalmazásokra mutató hivatkozások is megadhatók az alkalmazásnak.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

A biztonsági szakértők szerint az alkalmazás fejlesztői valószínűleg nem szándékosan hagyták a hibákat a fájlmegosztó appban - ugyanakkor egyelőre úgy néz ki a javítással sem sietnek, ugyanis egyelőre nem válaszoltak a Trend Micro megkeresésére. A biztonsági cég három hónap várakozás után döntött a sérülékenységek publikálása mellett, miután azok nagyméretű felhasználói közösség számára jelentenek kockázatot.

A vállalat a Google-t is értesítette a sérülékenységekről, ugyanakkor egyelőre a keresőóriás sem reagált nyilvánosan az ügyben, illetve a SHAREit is változatlanul elérhető a Play Store-ból.

a címlapról