UWP API-fejl betyder, at apps kan stjæle ALLE dine data uden at du ved det

Ikon for læsetid 2 min. Læs


Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links. Værktøjstip-ikon

Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere

Det viser sig, at en vigtig UWP API i Windows 10 har en fejl, som betyder, at ondsindede udviklere frit kan strejfe over hele din harddisk og stjæle alle dine data.

UWP-apps er beregnet til at være mere sikre på grund af at de er i sandkasse og begrænset til deres egne mapper og specielle mapper. Det broadFileSystemAccess API giver udviklere mulighed for at anmode om adgang til hele din harddisk, men var beregnet til at bede brugere om tilladelse ved første brug, ligesom hvordan apps anmoder om adgang til dit kamera eller din placering.

Ifølge Dotnetapp.com der er en fejl i implementeringen af ​​denne API, som betyder, at brugere aldrig bliver spurgt om tilladelse, og som standard får fuld filsystemadgang.

Microsoft har rettet dette problem med oktober 2018-opdateringen (som selvfølgelig stadig skal udrulles), men indtil da er alle Windows 10-brugere fortsat sårbare.

Der findes en vis afbødning ved, at udviklere skal erklære tilstedeværelsen af ​​denne API i appens manifest og give en begrundelse for dens brug i beskrivelsen af ​​appen. I betragtning af Microsofts slappe overvågning af butikken dog (se "Google Fotos"-annonce-klikke malware for eksempel), dette giver ringe beskyttelse.

Selvom Microsoft klart har en rettelse allerede med oktober 2018-opdateringen, undrer vi os over, hvor mange udnyttelige fejl, der forbliver uopdagede i den anden nyskrevne og utestede UWP API-kode.

Brugerforum

0 meddelelser