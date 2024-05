Microsoft ha scoperto una vulnerabilità in molte app Android che potrebbe essere sfruttata per sovrascrivere i file nella directory home. Ciò consente di eseguire codice arbitrario, accedere agli account degli utenti e prendere il controllo del dispositivo. Le app vulnerabili sono state scaricate oltre 4 milioni di volte dal Play Store. L’azienda di Redmond ha segnalato il problema a Google e agli sviluppatori.

Attacco Dirty Stream

La vulnerabilità scoperta da Microsoft è nota come “path traversal”, mentre l’attacco corrispondente è stato chiamato Dirty Stream. Android assegna ad ogni app uno spazio dedicato per dati e memoria. La condivisione sicura di file e dati tra le app viene effettuata con il componente “content provider”. Una sua errata implementazione introduce vulnerabilità che possono essere sfruttate per aggirare le restrizioni di lettura/scrittura nella directory home dell’app.

La condivisione dei file tra le app installate avviene con un FileProvider dichiarato nel manifesto dell’app insieme al percorso (simile ad un indirizzo web). L’app che deve condividere i dati crea e invia un intent (messaggio) all’app ricevente. Un’app infetta può creare un intent con percorso e nome file invalidi che l’app ricevente considera corretti a causa dell’errata implementazione dl FileProvider. In questo modo è possibile sovrascrivere i file nella directory home.

Tra le app vulnerabili c’erano Xiaomi File Manager e WPS Office (il problema è stato risolto nelle versioni aggiornate). In entrambi i casi, Microsoft ha effettuato un attacco Dirty Stream ed eseguito codice arbitrario. In alcuni casi, i cybercriminali potrebbero sfruttare la vulnerabilità per accedere alla rete locale da remoto. Gli utenti devono installare le versioni più recenti delle app per evitare rischi.

Aggiornamento

Così Xiaomi ha commentato l’accaduto: