Microsoft, kötü niyetli Android uygulamalarının başka bir uygulamanın ana dizinindeki dosyaların üzerine yazmasına izin verebilecek ve potansiyel olarak keyfi kod yürütülmesine ve sırlara hırsızlığa yol açan yeni bir saldırı vurguladı.
Kusur, farklı uygulamalar arasında paylaşılması gereken yapılandırılmış veri kümelerine erişimi yöneten Android içerik sağlayıcı sisteminin yanlış kullanımından kaynaklanır.
Bu sistem, yetkisiz erişimi, veri sızıntılarını ve yol geçiş saldırılarını önlemek için veri izolasyonu, URI izinleri ve yol doğrulama güvenliği önlemlerini içerir.
Yanlış uygulandığında, Android uygulamalarındaki bileşenler arasındaki iletişimi kolaylaştıran mesajlar olan özel niyetler, bu güvenlik önlemlerini atlayabilir.
Yanlış uygulamalara örnek olarak, uygunsuz dosya adlarına ve niyetlere güvenmek, 'FileProvider' bileşeninin kötüye kullanılması ve yetersiz yol doğrulaması sayılabilir.
Dirty Stream, kötü amaçlı uygulamaların özel bir niyet kullanarak manipüle edilmiş bir dosya adı veya yol içeren bir dosya göndermesine izin verir. Hedef uygulama, dosya adına veya yola güvenmek için yanlış uygulanır ve dosyayı kritik bir dizinde yürütür veya saklar.
İki Android uygulaması arasındaki veri akışının bu manipülasyonu, ortak bir işletim sistemi düzeyi işlevini silahlandırılmış bir araca dönüştürür ve yetkisiz kod yürütme, veri hırsızlığı veya diğer kötü niyetli sonuçlara yol açabilir.
Microsoft araştırmacısı Dimitrios ValSamaras, bu yanlış uygulamaların maalesef bol olduğunu, dört milyar kez yüklenen uygulamaları etkilediğini ve büyük bir saldırı yüzeyi sunduğunu belirtti.
Raporda, "Google Play Store'da dört milyardan fazla kurulumu temsil eden birkaç savunmasız uygulama belirledik."
"Güvenlik açığı modelinin diğer uygulamalarda bulunabileceğini öngörüyoruz. Bu araştırmayı paylaşıyoruz, böylece geliştiricilerin ve yayıncıların benzer sorunlar için uygulamalarını kontrol edebilmesi, uygun şekilde düzeltebilmesi ve bu tür güvenlik açıklarını yeni uygulamalara veya sürümlere sokmayı önleyebilmeleri."
Microsoft'un raporundaki kirli akış saldırılarına karşı savunmasız olarak vurgulanan iki uygulama, Xiaomi'nin bir milyardan fazla kurulumu olan Dosya Yöneticisi uygulaması ve yaklaşık 500 milyon kurulum olan WPS ofisidir.
Her iki şirket de bulgulara cevap verdi ve güvenlik açığının ortaya koyduğu riskleri azaltmak için düzeltmeler yapmak için Microsoft ile işbirliği yaptı.
Microsoft'un bulguları, gelecekteki yapılarda benzer güvenlik açıklarını önlemek için Android Geliştiriciler web sitesindeki bir makale aracılığıyla Android geliştirici topluluğu ile paylaşıldı.
Google, içerik sağlayıcı sistemindeki güvenlik bypass'larına izin veren ortak uygulama hatalarını vurgulamak için uygulama güvenlik kılavuzunu da güncelledi.
Son kullanıcılara gelince, kullandıkları uygulamaları güncel tutmanın ve gayri resmi üçüncü taraf uygulama mağazalarından ve diğer kötü denetlenen kaynaklardan APK'ları indirmekten kaçınmanın yanı sıra yapabilecekleri çok şey yoktur.
Google, 2023'te Play Store'dan 2.28 milyon riskli Android uygulamasını reddetti
Finlandiya, banka hesaplarını ihlal eden Android kötü amaçlı yazılım saldırılarını uyarıyor
Yeni Wpeeper Android kötü amaçlı yazılım, hacklenen WordPress sitelerinin arkasına saklanıyor
Telefonunuzu SwiftScan VIP uygulamasından 140 $ ile bir tarayıcıya çevirin
Yeni Brokewell kötü amaçlı yazılım Android cihazları devralır, verileri çalar
Kaynak: Bleeping Computer