Artykuł

Luki w zabezpieczeniach ShareIt to kolejny dobry powód, aby przejść na udostępnianie w pobliżu

protection click fraud

Popularna aplikacja do udostępniania plików, ShareIt, została przez tydzień skrytykowana za kilka luk w zabezpieczeniach, które - jeśli zostaną wykorzystane - mogą pozwolić złym aktorom na kradzież danych.

W Poczta udostępnianie tych luk (za pośrednictwem Ars Technica), naukowcy z Trend Micro powiedzieli:

Luki mogą zostać wykorzystane do wycieku poufnych danych użytkownika i wykonania dowolnego kodu z uprawnieniami SHAREit przy użyciu złośliwego kodu lub aplikacji. Mogą również potencjalnie prowadzić do zdalnego wykonania kodu (RCE).

Większość zagrożeń wynika z pozycji ShareIt jako pewnego rodzaju menedżera plików. Aplikacja umożliwia użytkownikom zdalne udostępnianie plików innym użytkownikom, ponieważ ma wiele uprawnień. Musi mieć dostęp do wszystkich plików i aplikacji, aby działały efektywnie, a także musi mieć dostęp do sieci. Jeśli chodzi o to, ShareIt ma dużą moc, ale nie zabezpiecza jej odpowiednio.

W wyniku tego, jak aplikacja jest kodowana, ShareIt może teraz udostępniać pliki aplikacjom innych firm, które o to proszą, nawet prywatne, które nie mają być udostępniane. Firma Trend Micro zauważa, że ​​„każdy podmiot zewnętrzny może nadal uzyskać tymczasowy dostęp do odczytu / zapisu danych dostawcy zawartości”. i że „wszystkie pliki w katalogu / data / data /

do folderu, do którego można uzyskać swobodny dostęp. ”Oznacza to, że złośliwy programista może zbudować aplikację i uzyskać dostęp do pamięci podręcznej wszystkich plików ShareIt. Zdaniem naukowców może następnie wykorzystać ten dostęp do zdalnego wykonywania kodu poprzez pisanie i wymianę własnych fałszywych plików pamięci podręcznej aplikacji.

Oferty VPN: dożywotnia licencja za 16 USD, plany miesięczne za 1 USD i więcej

Trend Micro zauważył również, że ShareIt był podatny na atak typu man in the middle. Podczas pobierania aplikacji do zainstalowania za pośrednictwem własnego instalatora aplikacji ShareIt, zły aktor może zastąpić pobrany plik APK wybranym przez siebie APK, a ShareIt zainstaluje go tak samo. Po zainstalowaniu zduplikowanego pliku APK poświadczenia użytkownika docelowego mogą zostać skradzione, podobnie jak w przypadku witryn internetowych utworzonych w celu wyłudzania informacji.

Badacze Trend Micro powiedzieli, że te luki były prawdopodobnie niezamierzone, ale zauważyli również:

Zgłosiliśmy te luki do dostawcy, który jeszcze nie odpowiedział. Zdecydowaliśmy się ujawnić nasze badania trzy miesiące po zgłoszeniu tego, ponieważ wielu użytkowników może być dotknięty tym atakiem, ponieważ osoba atakująca może ukraść poufne dane i zrobić wszystko z aplikacjami pozwolenie. Nie jest też łatwo wykrywalny.

Chociaż luka w zabezpieczeniach nie jest przestępstwem, brak reakcji ShareIt i uznania zaistniałej sytuacji jest trochę niepokojący. Jeśli jesteś użytkownikiem Androida, który głównie udostępnia pliki innym użytkownikom Androida, ShareIt można zastąpić rodzimym narzędziem Google Udostępnij w pobliżu łatwo. Jest już wbudowany w większość telefonów z Androidem teraz udostępniaj aplikacje oprócz plików i jest swobodnie dostępny za pośrednictwem arkusza udostępniania, podobnie jak AirDrop firmy Apple,

Ale łatwość obsługi Google to nie jedyny powód, dla którego chcesz wskoczyć na ShareIt. Aplikacja została już zakazana w Indiach i zakazana w USA może to być tylko kilka dni daleko, z wyjątkiem jakieś zmiany z obecnej administracji.

Czy słuchałeś podcastu Android Central z tego tygodnia?

Android Central

Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znanymi współgospodarzami i gośćmi specjalnymi.

  • Subskrybuj w Pocket Casts: Audio
  • Subskrybuj w Spotify: Audio
  • Subskrybuj w iTunes: Audio

Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.

Masz dość oglądania reklam na telefonie Samsung? Oto jak się ich pozbyć
Reklamy się zaczęły

Telefony Samsunga z Androidem są niesamowite - z wyjątkiem tego, jak są podziurawione reklamami. Oto, jak powstrzymać te irytujące reklamy przed wyświetlaniem się na telefonie Samsung.

Aktualizacja In Death: Unchained Season 2 dodaje niebiańską liczbę elementów do odblokowania
Nowe rzeczy!

Gra In Death: Unchained właśnie doczekała się aktualizacji sezonu 2 dla Oculus Quest i zawiera mnóstwo nowej zawartości, elementów do odblokowania i jeszcze lepszą grafikę w Oculus Quest 2!

Jak często aktualizujesz swój smartfon?
najnowsze i najlepsze

Łatwo jest ekscytować się nowymi smartfonami, które zawsze są wydawane, ale kiedy przychodzi czas na ulepszenie obecnego telefonu, sprawy stają się nieco trudne.

Blokuj reklamy, moduły śledzące, a nawet niektóre złośliwe oprogramowanie za pomocą najlepszych blokerów reklam Chrome
Zatrzymać. Blok. Cieszyć się.

Wyskakujące okienka, banery i reklamy wideo są co najmniej denerwujące, ale wiele z nich zawiera również złośliwe oprogramowanie. Oto kilka programów blokujących reklamy, które pomogą przebić się przez hałas.

instagram story viewer