Säkerhetsföretaget Trend Micro har analysera en av de mesta populär apparna på Android-sidan, ShareIt, och hittat en rad mycket allvarliga säkerhetsproblem med appen som laddats ned mer än en miljard gånger.
Enligt statistik från App Annie så var ShareIt en av de mest nedladdade apparna i Google Play, globalt, 2019. ShareIt finns med på Topp-Tio listan över mest nedladdade appar för det året. Det beräknas att appen kan ha närmare 1.8 miljarder användare globalt – det finns appar för iOS, macOS och Windows.
We discovered several vulnerabilities in the application named SHAREit. The vulnerabilities can be abused to leak a user’s sensitive data and execute arbitrary code with SHAREit permissions by using a malicious code or app. They can also potentially lead to Remote Code Execution (RCE). In the past, vulnerabilities that can be used to download and steal files from users’ devices have also been associated with the app. While the app allows the transfer and download of various file types, such as Android Package (APK), the vulnerabilities related to these features are most likely unintended flaws.
Rapporten
I Trend Micros rapport sägs att appen har en rad säkerhetsproblem på grund av bristande kvalitetskontroll av den kod som används.
- Bibliotek och filer har både läs och skrivrättigheter – utan kontroll
Det betyder att praktiskt taget vem som helst kan läsa filer, skicka över och lagra filer och även exekvera filer.
Also, we noticed that SHAREit has set up deep links using URL leading to specific features in the app. These contain features that can download and install any APK.
En obehörig kan därmed ladda ned andra funktioner – exempelvis för att stjäla information – överföra och installera dem via Shareit.
Trend Micro har bekräftat att det är fullt möjligt att göra via en tämligen enkel funktion som kan läggas på en hemsida (exempelvis).
Attacker
Det här öppnar upp före en rad olika tänkbara attacker som kan riktas mot en sårbarhet och då buggarna av sådan synnerligen allvarligt art så krävs inte vare sig stora resurser eller ett överdrivet stort kunnande. I klartext – buggarna är tämligen enkla att exploatera.
0 kommentarer