Microsoft vindt path traversal-lek in Android-apps met 4 miljard installaties
Microsoft heeft in verschillende populaire Android-applicaties, die bij elkaar meer dan vier miljard installaties hebben, een path traversal-kwetsbaarheid gevonden waardoor malafide apps bestanden kunnen overschrijven in de home directory van kwetsbare apps. Dit kan leiden tot het uitvoeren van willekeurige code of het stelen van authenticatietokens waarmee toegang tot accounts kan worden verkregen.
Het beveiligingslek bevindt zich onder andere in apps van Xiaomi en WPS Office. Microsoft denkt dat het probleem echter bij veel meer apps speelt. Misbruik vereist wel dat gebruikers een malafide app geïnstalleerd hebben. Normaliter zijn apps op het Androidplatform gescheiden van elkaar, en hebben hun eigen data- en geheugenruimte. Android maakt het via een onderdeel genaamd 'content provider' mogelijk om data op een veilige manier voor andere geïnstalleerde apps toegankelijk te maken.
De implementatie van de content provider laat volgens Microsoft nog weleens te wensen over. Zo gebruikt bijvoorbeeld de app waarvan data wordt opgevraagd de bestandsnaam van de app die om de data vraagt. Een malafide app kan hier misbruik van maken om belangrijke bestanden te overschrijven. Samen met Google heeft Microsoft een document gepubliceerd waarin ontwikkelaars worden gewaarschuwd. Daarbij wordt ook het steevast advies gegeven: 'vertrouw gebruikersinvoer niet'. Apps zouden dan ook de bestandsnaam moeten negeren van de app die om data vraagt.
Update
Xiaomi laat in een verklaring aan Security.NL het volgende weten: "Xiaomi heeft alle zwakheden verholpen die door het team zijn gemeld en heeft ervoor gezorgd dat geen enkele gebruiker risico loopt door deze zwakheden. Gebruikers wordt altijd geadviseerd om hun apparaten bij te werken naar de nieuwste softwareversie met beveiligingsupdates."Een heleboel zooi op de PlayStore bevat spyware, in ieder geval bevat meer dan 75 procent van de apps trackers.
https://exodus-privacy.eu.org/en/
https://privacylab.yale.edu/trackers.html
Het is beter even een bezoekje te brengen aan de F-Droid repository en even Droid-ify installeren, dan heeft men toegang tot een hoop mooie transparante, vrije en open bron apps.
Kun je wel zo zeggen maar afgelopen jaar had Apple meerdere keren deze "fout" in apps, net als vele anderen.
Dit is een van de meest voorkomende fout bij ontwikkelaars die over het hoofd gezien wordt.
Dat nu Xiaomi expliciet genoemd wordt is natuurlijk wederom een Chinees bedrijf bashen terwijl Microsoft en Google geen haar beter zijn. Persoonlijk denk ik dat we banger moeten zijn voor de Amerikaanse tech bedrijven dan voor de Chinese, van de Amerikanen wordt dit soort gedrag gedoogd.
Een heleboel zooi op de PlayStore bevat spyware, in ieder geval bevat meer dan 75 procent van de apps trackers.
https://exodus-privacy.eu.org/en/
https://privacylab.yale.edu/trackers.html
Het is beter even een bezoekje te brengen aan de F-Droid repository en even Droid-ify installeren, dan heeft men toegang tot een hoop mooie transparante, vrije en open bron apps.
Zoals F-Droid zelf aangeeft:
Een heleboel zooi op de PlayStore bevat spyware, in ieder geval bevat meer dan 75 procent van de apps trackers.
https://exodus-privacy.eu.org/en/
https://privacylab.yale.edu/trackers.html
Het is beter even een bezoekje te brengen aan de F-Droid repository en even Droid-ify installeren, dan heeft men toegang tot een hoop mooie transparante, vrije en open bron apps.
Tijd om Google aan te pakken met hun marktmisbruik van behoorlijk wat belangrijke features binnen Android zijn niet meer bruikbaar zonder de app via de Playstore te installeren.
Fairemail die niet bij Outlook of Gmail kan komen. OSMand dat geen gebruik kan maken van Android Auto.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?