Popularna aplikacja do udostępniania plików, ShareIt, została przez tydzień skrytykowana za kilka luk w zabezpieczeniach, które - jeśli zostaną wykorzystane - mogą pozwolić złym aktorom na kradzież danych.
W Poczta udostępnianie tych luk (za pośrednictwem Ars Technica), naukowcy z Trend Micro powiedzieli:
Luki mogą zostać wykorzystane do wycieku poufnych danych użytkownika i wykonania dowolnego kodu z uprawnieniami SHAREit przy użyciu złośliwego kodu lub aplikacji. Mogą również potencjalnie prowadzić do zdalnego wykonania kodu (RCE).
Większość zagrożeń wynika z pozycji ShareIt jako pewnego rodzaju menedżera plików. Aplikacja umożliwia użytkownikom zdalne udostępnianie plików innym użytkownikom, ponieważ ma wiele uprawnień. Musi mieć dostęp do wszystkich plików i aplikacji, aby działały efektywnie, a także musi mieć dostęp do sieci. Jeśli chodzi o to, ShareIt ma dużą moc, ale nie zabezpiecza jej odpowiednio.
W wyniku tego, jak aplikacja jest kodowana, ShareIt może teraz udostępniać pliki aplikacjom innych firm, które o to proszą, nawet prywatne, które nie mają być udostępniane. Firma Trend Micro zauważa, że „każdy podmiot zewnętrzny może nadal uzyskać tymczasowy dostęp do odczytu / zapisu danych dostawcy zawartości”. i że „wszystkie pliki w katalogu / data / data /
Oferty VPN: dożywotnia licencja za 16 USD, plany miesięczne za 1 USD i więcej
Trend Micro zauważył również, że ShareIt był podatny na atak typu man in the middle. Podczas pobierania aplikacji do zainstalowania za pośrednictwem własnego instalatora aplikacji ShareIt, zły aktor może zastąpić pobrany plik APK wybranym przez siebie APK, a ShareIt zainstaluje go tak samo. Po zainstalowaniu zduplikowanego pliku APK poświadczenia użytkownika docelowego mogą zostać skradzione, podobnie jak w przypadku witryn internetowych utworzonych w celu wyłudzania informacji.
Badacze Trend Micro powiedzieli, że te luki były prawdopodobnie niezamierzone, ale zauważyli również:
Zgłosiliśmy te luki do dostawcy, który jeszcze nie odpowiedział. Zdecydowaliśmy się ujawnić nasze badania trzy miesiące po zgłoszeniu tego, ponieważ wielu użytkowników może być dotknięty tym atakiem, ponieważ osoba atakująca może ukraść poufne dane i zrobić wszystko z aplikacjami pozwolenie. Nie jest też łatwo wykrywalny.
Chociaż luka w zabezpieczeniach nie jest przestępstwem, brak reakcji ShareIt i uznania zaistniałej sytuacji jest trochę niepokojący. Jeśli jesteś użytkownikiem Androida, który głównie udostępnia pliki innym użytkownikom Androida, ShareIt można zastąpić rodzimym narzędziem Google Udostępnij w pobliżu łatwo. Jest już wbudowany w większość telefonów z Androidem teraz udostępniaj aplikacje oprócz plików i jest swobodnie dostępny za pośrednictwem arkusza udostępniania, podobnie jak AirDrop firmy Apple,
Ale łatwość obsługi Google to nie jedyny powód, dla którego chcesz wskoczyć na ShareIt. Aplikacja została już zakazana w Indiach i zakazana w USA może to być tylko kilka dni daleko, z wyjątkiem jakieś zmiany z obecnej administracji.
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znanymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
Telefony Samsunga z Androidem są niesamowite - z wyjątkiem tego, jak są podziurawione reklamami. Oto, jak powstrzymać te irytujące reklamy przed wyświetlaniem się na telefonie Samsung.
Gra In Death: Unchained właśnie doczekała się aktualizacji sezonu 2 dla Oculus Quest i zawiera mnóstwo nowej zawartości, elementów do odblokowania i jeszcze lepszą grafikę w Oculus Quest 2!
Łatwo jest ekscytować się nowymi smartfonami, które zawsze są wydawane, ale kiedy przychodzi czas na ulepszenie obecnego telefonu, sprawy stają się nieco trudne.
Wyskakujące okienka, banery i reklamy wideo są co najmniej denerwujące, ale wiele z nich zawiera również złośliwe oprogramowanie. Oto kilka programów blokujących reklamy, które pomogą przebić się przez hałas.