Kritikus bugok az egyik népszerű, androidos fájlmegosztóban
A több mint egymilliárd alkalommal telepített SHAREit bő három hónapja nem javított bugjai a kártevők előtt is utat nyithatnak.
Masszív felhasználóbázissal rendelkező androidos alkalmazásban bukkantak kritikus sebezhetőségekre a Trend Micro biztonsági cég szakértői - amelyeket a fejlesztők nem sietnek orvosolni. A keresztplatformos fájlmegosztást célzó SHAREit alkalmazás a Play Store-ban több mint egymilliárd telepítést tudhat magáénak.
A sérülékenységeket felfedező kutatók szerint azok birtokában a támadók potenciálisan érzékeny felhasználói adatokhoz is hozzáférhetnek, illetve a SHAREit app jogosultságaival tetszőleges kódfuttatásra is lehetőségük nyílik. Mindezek mellett a biztonsági rések akár az illetéktelen, távoli kódvégrehajtás előtt is megnyithatják az eszközök kapuit.
A helyzetet súlyosbítja az app "deep link" funkciója, amellyel bizonyos URL sémákra támaszkodó doménekről fájlok tölthetők le - de a megoldás akár APK fájlok telepítését is lehetővé teszi. Miután a letöltések nem csak HTTPS, de mezei HTTP protokollon keresztül is elvégezhetők, egy közbeékelődéses támadással kártékony alkalmazásokra mutató hivatkozások is megadhatók az alkalmazásnak.
A biztonsági szakértők szerint az alkalmazás fejlesztői valószínűleg nem szándékosan hagyták a hibákat a fájlmegosztó appban - ugyanakkor egyelőre úgy néz ki a javítással sem sietnek, ugyanis egyelőre nem válaszoltak a Trend Micro megkeresésére. A biztonsági cég három hónap várakozás után döntött a sérülékenységek publikálása mellett, miután azok nagyméretű felhasználói közösség számára jelentenek kockázatot.
A vállalat a Google-t is értesítette a sérülékenységekről, ugyanakkor egyelőre a keresőóriás sem reagált nyilvánosan az ügyben, illetve a SHAREit is változatlanul elérhető a Play Store-ból.