:

Szerző: Hlács Ferenc

2021. február 16. 12:11

Kritikus bugok az egyik népszerű, androidos fájlmegosztóban

A több mint egymilliárd alkalommal telepített SHAREit bő három hónapja nem javított bugjai a kártevők előtt is utat nyithatnak.

Masszív felhasználóbázissal rendelkező androidos alkalmazásban bukkantak kritikus sebezhetőségekre a Trend Micro biztonsági cég szakértői - amelyeket a fejlesztők nem sietnek orvosolni. A keresztplatformos fájlmegosztást célzó SHAREit alkalmazás a Play Store-ban több mint egymilliárd telepítést tudhat magáénak.

A sérülékenységeket felfedező kutatók szerint azok birtokában a támadók potenciálisan érzékeny felhasználói adatokhoz is hozzáférhetnek, illetve a SHAREit app jogosultságaival tetszőleges kódfuttatásra is lehetőségük nyílik. Mindezek mellett a biztonsági rések akár az illetéktelen, távoli kódvégrehajtás előtt is megnyithatják az eszközök kapuit.

swbugill

A helyzetet súlyosbítja az app "deep link" funkciója, amellyel bizonyos URL sémákra támaszkodó doménekről fájlok tölthetők le - de a megoldás akár APK fájlok telepítését is lehetővé teszi. Miután a letöltések nem csak HTTPS, de mezei HTTP protokollon keresztül is elvégezhetők, egy közbeékelődéses támadással kártékony alkalmazásokra mutató hivatkozások is megadhatók az alkalmazásnak.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x)

Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

A biztonsági szakértők szerint az alkalmazás fejlesztői valószínűleg nem szándékosan hagyták a hibákat a fájlmegosztó appban - ugyanakkor egyelőre úgy néz ki a javítással sem sietnek, ugyanis egyelőre nem válaszoltak a Trend Micro megkeresésére. A biztonsági cég három hónap várakozás után döntött a sérülékenységek publikálása mellett, miután azok nagyméretű felhasználói közösség számára jelentenek kockázatot.

A vállalat a Google-t is értesítette a sérülékenységekről, ugyanakkor egyelőre a keresőóriás sem reagált nyilvánosan az ügyben, illetve a SHAREit is változatlanul elérhető a Play Store-ból.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról