Microsoft heeft in verschillende populaire Android-applicaties, die bij elkaar meer dan vier miljard installaties hebben, een path traversal-kwetsbaarheid gevonden waardoor malafide apps bestanden kunnen overschrijven in de home directory van kwetsbare apps. Dit kan leiden tot het uitvoeren van willekeurige code of het stelen van authenticatietokens waarmee toegang tot accounts kan worden verkregen.
Het beveiligingslek bevindt zich onder andere in apps van Xiaomi en WPS Office. Microsoft denkt dat het probleem echter bij veel meer apps speelt. Misbruik vereist wel dat gebruikers een malafide app geïnstalleerd hebben. Normaliter zijn apps op het Androidplatform gescheiden van elkaar, en hebben hun eigen data- en geheugenruimte. Android maakt het via een onderdeel genaamd 'content provider' mogelijk om data op een veilige manier voor andere geïnstalleerde apps toegankelijk te maken.
De implementatie van de content provider laat volgens Microsoft nog weleens te wensen over. Zo gebruikt bijvoorbeeld de app waarvan data wordt opgevraagd de bestandsnaam van de app die om de data vraagt. Een malafide app kan hier misbruik van maken om belangrijke bestanden te overschrijven. Samen met Google heeft Microsoft een document gepubliceerd waarin ontwikkelaars worden gewaarschuwd. Daarbij wordt ook het steevast advies gegeven: 'vertrouw gebruikersinvoer niet'. Apps zouden dan ook de bestandsnaam moeten negeren van de app die om data vraagt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.