Numerose applicazioni Android famose sono vulnerabili ad un attacco di percorso, scoperto da Microsoft, che potrebbe permettere a un’applicazione malevola di sovrascrivere file.
La compagnia Microsoft ha recentemente rilevato un modello di vulnerabilità collegato al percorso, presente in molte applicazioni Android conosciute. Questo tipo di minaccia potrebbe permettere a un’applicazione malevola di sovrascrivere i file ubicati nella directory home di un’applicazione vulnerabile.
Le conseguenze di questo modello di vulnerabilità includono l’esecuzione di codice arbitrario e il furto di token. L’esecuzione di codice arbitrario può fornire ad un attaccante il pieno controllo sul comportamento di un’applicazione, mentre il furto di token può dare accesso all’attaccante ai conti e ai dati sensibili dell’utente.
Abbiamo identificato numerose applicazioni vulnerabili presenti nel Google Play Store, le quali rappresentano oltre quattro miliardi di installazioni. Riteniamo che il modello di vulnerabilità potrebbe essere riscontrato anche in altre applicazioni. Condividiamo questa ricerca affinché gli sviluppatori e gli editori possano controllare le loro app alla ricerca di problemi simili, correggerli come appropriato, e prevenire l’introduzione di tali vulnerabilità nelle nuove app o nei nuovi rilasci.
Dopo aver scoperto questo problema, abbiamo identificato diverse applicazioni vulnerabili e, seguendo la nostra politica di divulgazione responsabile, abbiamo notificato agli sviluppatori delle applicazioni attraverso la Coordinated Vulnerability Disclosure (CVD) di Microsoft Security Vulnerability Research (MSVR) e abbiamo collaborato con loro per risolvere il problema. Desideriamo ringraziare i team di sicurezza di Xiaomi, Inc. e WPS Office per aver indagato e risolto il problema.
Reputando che altre applicazioni potrebbero essere colpite, abbiamo deciso di sensibilizzare gli sviluppatori riguardo al problema collaborando con Google per pubblicare un articolo sul sito web degli sviluppatori Android, fornendo consigli in un luogo di alta visibilità per aiutare gli sviluppatori a evitare di introdurre questo modello di vulnerabilità nelle loro applicazioni.
In questo post, continuiamo a sensibilizzare sviluppatori e utenti dando una panoramica generale del modello di vulnerabilità e concentrandoci sui target di condivisione Android, in quanto sono i più inclini a questo tipo di attacchi. Forniamo un caso studio sull’esecuzione del codice in cui dimostriamo l’impatto che va oltre l’ambito del dispositivo mobile e potrebbe persino influenzare una rete locale. Infine, forniamo indicazioni agli utenti e agli sviluppatori di applicazioni e illustrammo l’importanza della collaborazione per migliorare la sicurezza per tutti.