Как потребителям, нам нравится думать, что компании, зарабатывающие наши деньги, сделают все возможное, чтобы выполнить свою часть сделки. Когда дело доходит до бизнеса приложений/программного обеспечения, разработчикам следует постоянно обновлять свои продукты, чтобы выполнить свою часть сделки. Вот что делает подобные ситуации расстраивающими. В Android-приложении SHAREit уязвимости безопасности не устранялись более трех месяцев.
Выявление уязвимостей безопасности SHAREit
Приложение SHAREit для Android предоставляет пользователям возможность обмениваться файлами с друзьями или между устройствами. Аналитик Trend Micro по мобильным угрозам Эхо Дуан заявил в отчете от 15 февраля 2021 года, что приложение содержит уязвимости безопасности, которые не имеют надлежащих ограничений для кода приложения.
Уязвимости SHAREit можно использовать для запуска вредоносного кода на телефонах, на которых установлено приложение. Это можно сделать с помощью вредоносных приложений, установленных на устройстве, или посредством сетевой атаки «человек посередине».
Вредоносные команды, отправленные с помощью одного из этих методов в приложение SHAREit, захватывают управление устройством, затем запускают собственный код, перезаписывают файлы и устанавливают другие приложения, при этом пользователь ничего не узнает.
Приложение SHAREit для Android также подвержено атакам «человек на диске». Из-за этой уязвимости конфиденциальные ресурсы приложений не хранятся безопасно в той же области телефона, где хранятся другие приложения. Это делает эти приложения уязвимыми для редактирования, замены или даже удаления.
Соответствие разработчикам SHAREit
При таком большом ущербе, который могут нанести уязвимости безопасности SHAREit, можно подумать, что разработчики приложений будут стремиться исправить его как можно скорее. Однако этого не произошло – уже три месяца.
«Мы сообщили об этих уязвимостях поставщику, но он пока не ответил», — сообщил Дуань.
Далее он отметил: «Мы решили раскрыть наше исследование через три месяца после сообщения об этом, поскольку от этой атаки могут пострадать многие пользователи, поскольку злоумышленник может украсть конфиденциальные данные».
Дуань также сообщил, что поделился с Google уязвимостями безопасности SHAREit. Однако он не уточнил, как отреагировала компания. Быстрая проверка показывает, что SHAREit все еще доступен в Play Store. Кроме того, разработчики не только отвечали на комментарии, оставленные в обзорах в течение этого трехмесячного периода, но также показывают, что последний раз приложение обновлялось 9 февраля 2021 года – по словам Дуана, без исправления уязвимостей безопасности.
На своем веб-сайте SHAREit утверждает, что ее приложениями пользуются 1,8 миллиарда пользователей в 200 странах. Можно предположить, что большинство пользователей не знают об ошибках безопасности. Однако приложение SHAREit для iOS не пострадало от уязвимостей.
Прочитайте важные советы по безопасности Android для защиты вашего мобильного устройства.
