UWP API 錯誤意味著應用程序可以在您不知情的情況下竊取您的所有數據

事實證明，Windows 10 中一個重要的 UWP API 存在一個錯誤，這意味著惡意開發人員可以自由地在您的硬盤上漫遊並竊取您的任何數據。

UWP 應用程序被沙盒化並限制在它們自己的目錄和特殊文件夾中，因此更安全。 這 廣泛的文件系統訪問 API 允許開發人員請求訪問您的整個硬盤驅動器，但旨在提示用戶在首次使用時獲得許可，就像應用程序如何請求訪問您的相機或位置一樣。

根據 Dotnetapp.com 此 API 的實現中存在一個錯誤，這意味著用戶永遠不會被要求獲得許可，並且默認情況下被授予完整的文件系統訪問權限。

微軟已通過 2018 年 10 月更新（當然仍需推出）修復了此問題，但在此之前，所有 Windows XNUMX 用戶仍然容易受到攻擊。

存在一些緩解措施，即開發人員必須在應用程序的清單中聲明此 API 的存在，並在應用程序描述中為其使用提供理由。 然而，鑑於微軟對商店的監管鬆懈（見 例如“谷歌照片”廣告點擊惡意軟件)，這提供的保護不足。

雖然 Microsoft 顯然已經在 2018 年 XNUMX 月的更新中進行了修復，但我們想知道在其他新編寫且未經測試的 UWP API 代碼中仍有多少可利用的錯誤未被發現。