UWP API-bugg betyder att appar kan stjäla ALLA dina data utan att du vet
2 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Det visar sig att ett viktigt UWP API i Windows 10 har en bugg som innebär att skadliga utvecklare är fria att ströva runt på din hårddisk och stjäla all din data.
UWP-appar är tänkta att vara säkrare på grund av att de är sandlådor och begränsade till sina egna kataloger och speciella mappar. De broadFileSystemAccess API tillåter utvecklare att begära åtkomst till hela din hårddisk, men var tänkt att be användarna om tillåtelse vid första användningen, ungefär som hur appar begär åtkomst till din kamera eller plats.
Enligt Dotnetapp.com det finns en bugg i implementeringen av detta API som innebär att användarna aldrig blir tillfrågade om tillstånd och som standard ges full filsystemåtkomst.
Microsoft har åtgärdat det här problemet med oktober 2018-uppdateringen (som naturligtvis fortfarande måste rullas ut), men tills dess är alla Windows 10-användare fortfarande sårbara.
Vissa begränsningar finns genom att utvecklare måste deklarera närvaron av detta API i appens manifest och motivera dess användning i beskrivningen av appen. Med tanke på Microsofts slappa övervakning av butiken (se till exempel "Google Fotos"-annonsklickande skadlig programvara), ger detta ett ringa skydd.
Även om Microsoft helt klart har en fix redan med oktober 2018-uppdateringen, undrar vi hur många exploateringsbara buggar som förblir oupptäckta i den andra nyskrivna och oprövade UWP API-koden.
