Microsoft vindt path traversal-lek in Android-apps met 4 miljard installaties
Microsoft heeft in verschillende populaire Android-applicaties, die bij elkaar meer dan vier miljard installaties hebben, een path traversal-kwetsbaarheid gevonden waardoor malafide apps bestanden kunnen overschrijven in de home directory van kwetsbare apps. Dit kan leiden tot het uitvoeren van willekeurige code of het stelen van authenticatietokens waarmee toegang tot accounts kan worden verkregen.
Het beveiligingslek bevindt zich onder andere in apps van Xiaomi en WPS Office. Microsoft denkt dat het probleem echter bij veel meer apps speelt. Misbruik vereist wel dat gebruikers een malafide app geïnstalleerd hebben. Normaliter zijn apps op het Androidplatform gescheiden van elkaar, en hebben hun eigen data- en geheugenruimte. Android maakt het via een onderdeel genaamd 'content provider' mogelijk om data op een veilige manier voor andere geïnstalleerde apps toegankelijk te maken.
De implementatie van de content provider laat volgens Microsoft nog weleens te wensen over. Zo gebruikt bijvoorbeeld de app waarvan data wordt opgevraagd de bestandsnaam van de app die om de data vraagt. Een malafide app kan hier misbruik van maken om belangrijke bestanden te overschrijven. Samen met Google heeft Microsoft een document gepubliceerd waarin ontwikkelaars worden gewaarschuwd. Daarbij wordt ook het steevast advies gegeven: 'vertrouw gebruikersinvoer niet'. Apps zouden dan ook de bestandsnaam moeten negeren van de app die om data vraagt.
Update
Xiaomi laat in een verklaring aan Security.NL het volgende weten: "Xiaomi heeft alle zwakheden verholpen die door het team zijn gemeld en heeft ervoor gezorgd dat geen enkele gebruiker risico loopt door deze zwakheden. Gebruikers wordt altijd geadviseerd om hun apparaten bij te werken naar de nieuwste softwareversie met beveiligingsupdates."Een heleboel zooi op de PlayStore bevat spyware, in ieder geval bevat meer dan 75 procent van de apps trackers.
https://exodus-privacy.eu.org/en/
https://privacylab.yale.edu/trackers.html
Het is beter even een bezoekje te brengen aan de F-Droid repository en even Droid-ify installeren, dan heeft men toegang tot een hoop mooie transparante, vrije en open bron apps.
Kun je wel zo zeggen maar afgelopen jaar had Apple meerdere keren deze "fout" in apps, net als vele anderen.
Dit is een van de meest voorkomende fout bij ontwikkelaars die over het hoofd gezien wordt.
Dat nu Xiaomi expliciet genoemd wordt is natuurlijk wederom een Chinees bedrijf bashen terwijl Microsoft en Google geen haar beter zijn. Persoonlijk denk ik dat we banger moeten zijn voor de Amerikaanse tech bedrijven dan voor de Chinese, van de Amerikanen wordt dit soort gedrag gedoogd.
Een heleboel zooi op de PlayStore bevat spyware, in ieder geval bevat meer dan 75 procent van de apps trackers.
https://exodus-privacy.eu.org/en/
https://privacylab.yale.edu/trackers.html
Het is beter even een bezoekje te brengen aan de F-Droid repository en even Droid-ify installeren, dan heeft men toegang tot een hoop mooie transparante, vrije en open bron apps.
Zoals F-Droid zelf aangeeft:
Een heleboel zooi op de PlayStore bevat spyware, in ieder geval bevat meer dan 75 procent van de apps trackers.
https://exodus-privacy.eu.org/en/
https://privacylab.yale.edu/trackers.html
Het is beter even een bezoekje te brengen aan de F-Droid repository en even Droid-ify installeren, dan heeft men toegang tot een hoop mooie transparante, vrije en open bron apps.
Tijd om Google aan te pakken met hun marktmisbruik van behoorlijk wat belangrijke features binnen Android zijn niet meer bruikbaar zonder de app via de Playstore te installeren.
Fairemail die niet bij Outlook of Gmail kan komen. OSMand dat geen gebruik kan maken van Android Auto.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
