Microsoft-ის კვლევითმა ჯგუფმა Android-ის პოპულარულ აპლიკაციებში აღმოაჩინა მოწყვლადობა, რაც უსაფრთხოების მნიშვნელოვან რისკებს უქმნის მილიარდობით მომხმარებელს მთელს მსოფლიოში.
იდენტიფიცირებული დაუცველობის ნიმუში, რომელიც დაკავშირებულია path traversal (გზის გავლა) გავლასთან, თავდამსხმელს აძლევს საშუალებას დაუცველი აპლიკაციის მთავარ დირექტორიაში, მავნე პროგრამის გამოყენებით მანიპულირება მოახდინოს ფაილებით.
გავრცელებული ინფორმაციით, ეს მოწყვლადობა აქტიურია Google Play Store-ზე ნაპოვნი რამდენიმე ფართოდ გამოყენებულ აპლიკაციაზე. ჯამურად მოწყვლადობა მოქმედია ოთხ მილიარდზე მეტ ინსტალაციაზე.
ტექნიკურ ბლოგ-პოსტში, Microsoft-მა ხაზი გაუსვა მზარდ საფრთხეებთან გამკლავების მიზნით ინდუსტრიის ფარგლებში კომპანიებს/აქტორებს შორის თანამშრომლობის მნიშვნელობას. მკვლევართა გუნდი ასევე მიუთითებს დეველოპერების მხრიდან აპლიკაციების შემოწმების აუცილებლობას, რათა თავიდან იქნას არიდებული აპლიკაციებში მსგავსი დაუცველობების არსებობა და პრობლემის აღმოჩენის შემთხვევაში, სწრაფად მიიღონ ზომები მათ აღმოსაფხვრელად.
ამ მიგნების საპასუხოდ, კომპანიამ განაცხადა, რომ იგი იცავს პასუხისმგებელი გამჟღავნების (responsible disclosure) პროცედურებს და თანამშრომლობდა აპლიკაციების შემქმნელებთან, როგორებიცაა Xiaomi და WPS Office, შესწორებების განსახორციელებლად.
გარდა ამისა, Microsoft-მა, Google-თან პარტნიორობით, გადადგა პროაქტიული ნაბიჯები დეველოპერების ცნობიერების ასამაღლებლად და Android Developers-ის გვერდზე გამოაქვეყნებს სახელმძღვანელოს.
დეტალური შემთხვევის ანალიზის საშუალებით, რომელიც მოიცავს Xiaomi-ს ფაილ მენეჯერს, Microsoft ასახავს პრობლემის პოტენციურ სიმძიმეს, მათ შორის სცენარებს, სადაც თავდამსხმელებს შეეძლოთ შეასრულონ თვითნებური კოდი და მიიღონ წვდომა მოწყობილობაზე შენახულ სენსიტიურ მონაცემებზე.
დეტალური ინფორმაცია, ანალიზი და ტექნიკური ანგარიში მოწყვლადობის შესახებ, შეგიძლიათ იხილოთ ბმულზე: “Dirty stream” attack: Discovering and mitigating a common vulnerability pattern in Android apps | Microsoft Security Blog