Szerző: Hlács Ferenc

2021. február 16. 12:11

Kritikus bugok az egyik népszerű, androidos fájlmegosztóban

A több mint egymilliárd alkalommal telepített SHAREit bő három hónapja nem javított bugjai a kártevők előtt is utat nyithatnak.

Masszív felhasználóbázissal rendelkező androidos alkalmazásban bukkantak kritikus sebezhetőségekre a Trend Micro biztonsági cég szakértői - amelyeket a fejlesztők nem sietnek orvosolni. A keresztplatformos fájlmegosztást célzó SHAREit alkalmazás a Play Store-ban több mint egymilliárd telepítést tudhat magáénak.

A sérülékenységeket felfedező kutatók szerint azok birtokában a támadók potenciálisan érzékeny felhasználói adatokhoz is hozzáférhetnek, illetve a SHAREit app jogosultságaival tetszőleges kódfuttatásra is lehetőségük nyílik. Mindezek mellett a biztonsági rések akár az illetéktelen, távoli kódvégrehajtás előtt is megnyithatják az eszközök kapuit.

swbugill

A helyzetet súlyosbítja az app "deep link" funkciója, amellyel bizonyos URL sémákra támaszkodó doménekről fájlok tölthetők le - de a megoldás akár APK fájlok telepítését is lehetővé teszi. Miután a letöltések nem csak HTTPS, de mezei HTTP protokollon keresztül is elvégezhetők, egy közbeékelődéses támadással kártékony alkalmazásokra mutató hivatkozások is megadhatók az alkalmazásnak.

Hány adag sültkrumplit bír el 25 Kubernetes klaszter? (x)

Globálisan napi akár 2,5 millió rendeléssel is megbirkóznak az RDI Hungary által fejlesztett háttérrendszerek és mobilalkalmazások.

Hány adag sültkrumplit bír el 25 Kubernetes klaszter? (x) Globálisan napi akár 2,5 millió rendeléssel is megbirkóznak az RDI Hungary által fejlesztett háttérrendszerek és mobilalkalmazások.

A biztonsági szakértők szerint az alkalmazás fejlesztői valószínűleg nem szándékosan hagyták a hibákat a fájlmegosztó appban - ugyanakkor egyelőre úgy néz ki a javítással sem sietnek, ugyanis egyelőre nem válaszoltak a Trend Micro megkeresésére. A biztonsági cég három hónap várakozás után döntött a sérülékenységek publikálása mellett, miután azok nagyméretű felhasználói közösség számára jelentenek kockázatot.

A vállalat a Google-t is értesítette a sérülékenységekről, ugyanakkor egyelőre a keresőóriás sem reagált nyilvánosan az ügyben, illetve a SHAREit is változatlanul elérhető a Play Store-ból.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról