Microsoft löytää uuden Android-tietoturva-aukon, joka vaikuttaa yli 4 miljardiin lataukseen

Microsoft varoittaa Android-käyttäjiä ja kehittäjiä haavoittuvuudesta, joka on löydetty useista Android-sovelluksista Google Play Kaupassa. Haavoittuvuus vaikuttaa mahdollisesti yli 4 miljardiin asennukseen maailmanlaajuisesti, kuten on ilmoitettu äskettäisessä raportissa.

Microsoft paljasti kaksi suurimmista haavoittuvista sovelluksista: WPS Office yli 500 miljoonalla asennuksella ja Xiaomi Inc.:n Tiedostonhallinta yli miljardilla asennuksella. Molemmat yritykset saivat tiedon helmikuussa tänä vuonna ja ovat sen jälkeen korjanneet ongelman.

Raportti tunnustaa, että monet muut sovellukset, jotka edustavat yli 500 miljoonaa asennusta, voivat olla vaarassa, mutta niitä ei nimeltä mainita.

Tämä ”Dirty Stream” -hyökkäyksenä tunnettu tietoturvaloukkaus on tunnistettu sisällöntarjoajakomponentissa, joka sallii sovellusten jakaa tietoa. Komponentin haavoittuvuus asettaa sovellukset vaaraan, koska haitalliset toimijat voivat ottaa sovelluksen hallintaansa ja saada pääsyn käyttäjätunnisteisiin. Kuten Microsoftin asiantuntijat selittivät 1. toukokuuta annetussa ilmoituksessa, seuraukset voivat vaihdella ja riippuvat siitä, miten sovellukset toteuttavat komponentin.

Google paljasti yhteistyössä Microsoftin kanssa tämän haavoittuvuuden ja jakoi turvariskiraportin Android Studion kehittäjäalustalla, joka tarjoaa lisää tietoa ja neuvoja siitä, miten välttää tulevia haavoittuvuuksia ja korjata nykyiset.

Microsoftin ilmoitus toimii paitsi varoituksena mahdollisesti miljardeille ihmisille, jotka voivat olla vaarassa, myös kutsuna muille suurille teknologiayrityksille ja sovelluskehittäjille työskennellä yhdessä paremman sovellusturvallisuuden tarjoamiseksi koko alalla. Microsoftin lausunnossa sanotaan, että se ei ainoastaan tarjoa ohjeita sovellusten käyttäjille ja kehittäjille, vaan myös aikoo ”osoittaa yhteistyön merkityksen turvallisuuden parantamiseksi kaikille”.

Microsoftin raportti antaa myös ohjeita Android-käyttäjille, ja suurin suositus on varmistaa, että sovellusten uusimmat versiot ovat tällä hetkellä asennettuina.

Raportti jakaa myös käytännön esimerkkejä ongelmasta käyttämällä tapaustutkimusta, joka koskee Xiaomi Inc.:n Tiedostonhallintaa viitteenä. Siinä selitetään, miten haitallinen sovellus voisi toimia vakavissa tilanteissa: ”Sen lisäksi, että sovelluksella on täydellinen pääsy laitteen ulkoiseen tallennustilaan, se pyytää monia käyttöoikeuksia, mukaan lukien mahdollisuus asentaa muita sovelluksia.”

Kaikesta huolimatta, kuten Forbes myös vahvistaa, käyttäjät eivät voi tehdä muuta kuin pysyä ajan tasalla, pitää sovelluksensa päivitettyinä ja noudattaa Microsoftin suosituksia: ”Käyttäjien tulisi asentaa sovelluksia vain luotettavista lähteistä välttääkseen mahdollisesti haitalliset sovellukset.”