Il bug dell'API UWP significa che le app possono rubare TUTTI i tuoi dati a tua insaputa

Si scopre che un'importante API UWP in Windows 10 ha un bug che significa che gli sviluppatori dannosi sono liberi di vagare per tutto il tuo disco rigido e rubare tutti i tuoi dati.

Le app UWP sono pensate per essere più sicure grazie al sandbox e confinate alle proprie directory e cartelle speciali. Il API BroadFileSystemAccess consente agli sviluppatori di richiedere l'accesso all'intero disco rigido, ma aveva lo scopo di richiedere agli utenti l'autorizzazione al primo utilizzo, proprio come le app richiedono l'accesso alla fotocamera o alla posizione.

Secondo Dotnetapp.com c'è un bug nell'implementazione di questa API che significa che agli utenti non viene mai richiesta l'autorizzazione e per impostazione predefinita viene concesso l'accesso completo al file system.

Microsoft ha risolto questo problema con l'aggiornamento di ottobre 2018 (che ovviamente deve ancora essere implementato), ma fino ad allora tutti gli utenti di Windows 10 rimangono vulnerabili.

Esiste una certa attenuazione in quanto gli sviluppatori devono dichiarare la presenza di questa API nel manifest dell'app e fornire una giustificazione per il suo utilizzo nella descrizione dell'app. Tuttavia, vista la lassista supervisione dello Store da parte di Microsoft (vedi ad esempio, il malware per clic sugli annunci "Google Foto".), questo fornisce una protezione scarsa.

Mentre Microsoft ha chiaramente già una soluzione con l'aggiornamento di ottobre 2018, ci chiediamo quanti bug sfruttabili rimangono non scoperti nell'altro codice API UWP appena scritto e non testato.