I ricercatori Microsoft hanno recentemente scoperto che molte app Android, tra cui almeno quattro con più di 500 milioni di installazioni ciascuna, erano vulnerabili ad attacchi di esecuzione di codice in modalità remota, furto di token e altri problemi a causa di una comune debolezza della sicurezza.
Microsoft ha informato il team di ricerca sulla sicurezza Android di Google del problema e Google ha rilasciato nuove linee guida per gli sviluppatori di app Android su come riconoscere e risolvere il problema.
Microsoft ha anche condiviso i suoi risultati con i fornitori di app Android interessati sul Google Play Store. Tra questi figurano il prodotto File Manager di Xiaomi Inc., che conta più di un miliardo di installazioni, e WPS Office con circa 500 milioni di download.
Microsoft ha affermato che i fornitori di entrambi i prodotti hanno già risolto il problema. Ma ritiene che esistano altre applicazioni che possono essere sfruttate e compromesse a causa della stessa debolezza della sicurezza.
“Prevediamo che il modello di vulnerabilità potrebbe essere trovato in altre applicazioni. Condividiamo questa ricerca in modo che sviluppatori ed editori possano verificare la presenza di problemi simili nelle loro app, risolverli se necessario ed evitare di introdurre tali vulnerabilità in nuove app o versioni “. Lo ha affermato il team di intelligence sulle minacce di Microsoft.
Il problema scoperto da Microsoft riguarda le app Android che condividono file con altre app. Per facilitare la condivisione sicura, Android implementa una cosiddetta funzionalità di “fornitore di contenuti” che funge essenzialmente da interfaccia per la gestione e l’esposizione dei dati di un’app ad altre app installate su un dispositivo, ha affermato Microsoft.
Un’applicazione che deve condividere i propri file (o un provider di file nel gergo Android) dichiara i percorsi specifici che altre applicazioni possono utilizzare per accedere ai dati. I provider di file includono anche una funzione di identificazione che altre applicazioni possono utilizzare come indirizzo per trovarli su un sistema.
Gli obiettivi tipici di condivisione di file includono client di posta elettronica, applicazioni di messaggistica, applicazioni di rete, browser ed editor di file. Quando una destinazione di condivisione riceve un nome di file dannoso, utilizza il nome del file per inizializzare il file e attivare un processo che potrebbe comportare la compromissione dell’applicazione, ha affermato Microsoft.
Sia Microsoft che Google hanno fornito indicazioni agli sviluppatori su come evitare questo problema. Gli utenti finali, d’altro canto, possono mitigare il rischio garantendo che le loro app Android siano aggiornate e installando solo app da fonti attendibili.
