Populaarset failide jagamise rakendust ShareIt kritiseeriti tema nädalal mitme haavatavuse tõttu, mis - kui seda kasutatakse - võib lubada halbadel näitlejatel teie andmeid varastada.
Sees postitus nende haavatavuste jagamine (via Ars Technica), ütlesid Trend Micro teadlased:
Haavatavusi saab kuritarvitada, et lekitada kasutaja tundlikke andmeid ja käivitada meelevaldne kood SHAREit-õigustega, kasutades pahatahtlikku koodi või rakendust. Need võivad potentsiaalselt viia ka kaugkoodide täitmiseni (RCE).
Suurem osa ohust tuleneb ShareIti positsioonist omamoodi failihaldurina. Rakendus võimaldab kasutajatel jagada faile teiste kasutajatega eemalt, seetõttu on sellel palju õigusi. See peab nägema, et kõik teie failid ja rakendused toimivad tõhusalt, samuti vajab see võrgule juurdepääsu. Mis puutub sellesse, siis ShareItil on palju jõudu, kuid see ei kinnita seda korralikult.
Rakenduse kodeerimise tulemusena saab ShareIt nüüd faile esitada kolmandatele osapooltele, kes seda taotlevad, isegi privaatsetele, mida pole mõeldud jagamiseks. Trend Micro märgib, et "kõik kolmanda osapoole üksused võivad ikkagi saada ajutise lugemis- / kirjutusjuurdepääsu sisupakkuja andmetele". ja et "kõik failid kataloogis / data / data /
VPN-pakkumised: eluaegne litsents 16 dollariga, igakuised plaanid 1 dollar ja rohkem
Trend Micro märkis ka, et ShareIt oli keskrünnakus oleva mehe suhtes haavatav. Rakenduste allalaadimiseks ShareIti enda rakenduste installiprogrammi kaudu installimiseks võib halb näitleja asendada allalaaditud APK enda valitud APK-ga ja ShareIt installib selle sama. Kui dubleeritud APK on installitud, võidakse sihtkasutaja mandaadid varastada, sarnaselt andmepüügiks loodud veebisaitidele.
Trend Micro teadlased ütlesid, et need haavatavused olid tõenäoliselt tahtmatud, kuid märkisid ka:
Teatasime neist haavatavustest müüjale, kes pole veel vastanud. Otsustasime oma uurimistöö avaldada kolm kuud pärast sellest teatamist, kuna paljud kasutajad võivad seda olla see rünnak mõjutab, kuna ründaja saab varastada tundlikke andmeid ja teha rakenduste abil kõike luba. Samuti ei ole see hõlpsasti tuvastatav.
Kuigi turvaviga pole kuritegu, on ShareIt'i reageerimise puudumine ja olukorra teadvustamine veidi murettekitav. Kui olete Androidi kasutaja, kes jagab enamasti faile teiste Androidi kasutajatega, saab ShareIti asendada Google'i emakeelega Läheduses olev jagamine kergusega. See on juba sisse ehitatud enamikus Android-telefonides nüüd jagage rakendusi lisaks failidele ja sellele tasuta juurdepääs aktsialehe kaudu, sarnaselt Apple'i AirDropiga,
Kuid Google'i kasutusmugavus pole ainus põhjus, miks soovite ShareIti hüpata. Rakendus on Indias juba keelatud ja USA keelatud võiksid olla vaid päevad ära, keelates kõik muudatused praegusest administratsioonist.
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Samsungi Android-telefonid on hämmastavad - välja arvatud see, kuidas need on reklaamidest läbi põimitud. Siit saate teada, kuidas peatada nende tüütute reklaamide kuvamine teie Samsungi telefonitorus.
In Death: Unchained sai just oma 2. hooaja värskenduse Oculus Questile ning sellel on Oculus Quest 2-l palju uut sisu, avatavaid seadmeid ja veelgi parem graafika!
Uute nutitelefonide väljalaskmise üle on lihtne põnevil olla, kuid kui on aeg oma praegust telefonitoru uuendada, muutuvad asjad natuke keerukaks.
Hüpikaknad, bännerid ja videoreklaamid on vähemalt tüütud, kuid paljud sisaldavad ka pahavara. Siin on mõned reklaami blokeerijad, mis aitavad müra vähendada.