image

Microsoft vindt path traversal-lek in Android-apps met 4 miljard installaties

vrijdag 3 mei 2024, 13:30 door Redactie, 6 reacties
Laatst bijgewerkt: 07-05-2024, 07:12

Microsoft heeft in verschillende populaire Android-applicaties, die bij elkaar meer dan vier miljard installaties hebben, een path traversal-kwetsbaarheid gevonden waardoor malafide apps bestanden kunnen overschrijven in de home directory van kwetsbare apps. Dit kan leiden tot het uitvoeren van willekeurige code of het stelen van authenticatietokens waarmee toegang tot accounts kan worden verkregen.

Het beveiligingslek bevindt zich onder andere in apps van Xiaomi en WPS Office. Microsoft denkt dat het probleem echter bij veel meer apps speelt. Misbruik vereist wel dat gebruikers een malafide app geïnstalleerd hebben. Normaliter zijn apps op het Androidplatform gescheiden van elkaar, en hebben hun eigen data- en geheugenruimte. Android maakt het via een onderdeel genaamd 'content provider' mogelijk om data op een veilige manier voor andere geïnstalleerde apps toegankelijk te maken.

De implementatie van de content provider laat volgens Microsoft nog weleens te wensen over. Zo gebruikt bijvoorbeeld de app waarvan data wordt opgevraagd de bestandsnaam van de app die om de data vraagt. Een malafide app kan hier misbruik van maken om belangrijke bestanden te overschrijven. Samen met Google heeft Microsoft een document gepubliceerd waarin ontwikkelaars worden gewaarschuwd. Daarbij wordt ook het steevast advies gegeven: 'vertrouw gebruikersinvoer niet'. Apps zouden dan ook de bestandsnaam moeten negeren van de app die om data vraagt.

Update

Xiaomi laat in een verklaring aan Security.NL het volgende weten: "Xiaomi heeft alle zwakheden verholpen die door het team zijn gemeld en heeft ervoor gezorgd dat geen enkele gebruiker risico loopt door deze zwakheden. Gebruikers wordt altijd geadviseerd om hun apparaten bij te werken naar de nieuwste softwareversie met beveiligingsupdates."

Reacties (6)
03-05-2024, 13:50 door Anoniem
Xiaomi really...
03-05-2024, 15:55 door Anoniem
Dit dus https://owasp.org/www-project-mobile-top-10/
04-05-2024, 13:09 door Anoniem
Door Anoniem: Xiaomi really...
Haha! Precies, en dan snappen mensen nog steeds niet waarom ze bespioneerd worden...
Een heleboel zooi op de PlayStore bevat spyware, in ieder geval bevat meer dan 75 procent van de apps trackers.
https://exodus-privacy.eu.org/en/
https://privacylab.yale.edu/trackers.html
Het is beter even een bezoekje te brengen aan de F-Droid repository en even Droid-ify installeren, dan heeft men toegang tot een hoop mooie transparante, vrije en open bron apps.
06-05-2024, 17:19 door _R0N_
Door Anoniem: Xiaomi really...

Kun je wel zo zeggen maar afgelopen jaar had Apple meerdere keren deze "fout" in apps, net als vele anderen.
Dit is een van de meest voorkomende fout bij ontwikkelaars die over het hoofd gezien wordt.

Dat nu Xiaomi expliciet genoemd wordt is natuurlijk wederom een Chinees bedrijf bashen terwijl Microsoft en Google geen haar beter zijn. Persoonlijk denk ik dat we banger moeten zijn voor de Amerikaanse tech bedrijven dan voor de Chinese, van de Amerikanen wordt dit soort gedrag gedoogd.
06-05-2024, 17:22 door _R0N_
Door Anoniem:
Door Anoniem: Xiaomi really...
Haha! Precies, en dan snappen mensen nog steeds niet waarom ze bespioneerd worden...
Een heleboel zooi op de PlayStore bevat spyware, in ieder geval bevat meer dan 75 procent van de apps trackers.
https://exodus-privacy.eu.org/en/
https://privacylab.yale.edu/trackers.html
Het is beter even een bezoekje te brengen aan de F-Droid repository en even Droid-ify installeren, dan heeft men toegang tot een hoop mooie transparante, vrije en open bron apps.

Zoals F-Droid zelf aangeeft:
Although every effort is made to ensure that everything in the repository is safe to install, you use it AT YOUR OWN RISK.
08-05-2024, 10:51 door Anoniem
Door Anoniem:
Door Anoniem: Xiaomi really...
Haha! Precies, en dan snappen mensen nog steeds niet waarom ze bespioneerd worden...
Een heleboel zooi op de PlayStore bevat spyware, in ieder geval bevat meer dan 75 procent van de apps trackers.
https://exodus-privacy.eu.org/en/
https://privacylab.yale.edu/trackers.html
Het is beter even een bezoekje te brengen aan de F-Droid repository en even Droid-ify installeren, dan heeft men toegang tot een hoop mooie transparante, vrije en open bron apps.

Tijd om Google aan te pakken met hun marktmisbruik van behoorlijk wat belangrijke features binnen Android zijn niet meer bruikbaar zonder de app via de Playstore te installeren.
Fairemail die niet bij Outlook of Gmail kan komen. OSMand dat geen gebruik kan maken van Android Auto.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.