Microsoft upptäcker ny säkerhetsbrist i Android som drabbar över 4 miljarder nedladdningar

Microsoft varnar Android-användare och utvecklare om ett sårbarhetsmönster som har hittats i flera Android-appar i Google Play Store. Sårbarheten rör potentiellt över fyra miljarder installationer över hela världen, vilket de skriver om i en ny rapport.

Microsoft har avslöjat två av de drabbade apparna: WPS Office, med över 500 miljoner installationer, och Xiaomi Inc.s File Manager, med över 1 miljard installationer. De två företagen informerades i februari i år och har sedan dess åtgärdat problemet.

Rapporten medger att många andra appar, som står för över 500 miljoner installationer, kan vara drabbade, men ingen nämns vid namn.

Säkerhetsbristen kallas för ett ”dirty stream”-angrepp och har identifierats i en komponent för innehållsleverans, som låter appar dela information. Sårbarheten i komponenten försätter appar i riskzonen eftersom skadliga aktörer kan ta kontroll över appen och få åtkomst till användares ”tokens”, som alltså autentiserar användare. Microsoft-experter förklarade i meddelandet från den 1 maj att konsekvenserna varierar och beror på hur applikationerna implementerar komponenten.

Google avslöjade i samarbete med Microsoft denna sårbarhet och lade upp en säkerhetsriskrapport på Android Studio-plattformen för utvecklare, som ger mer information och råd om hur framtida sårbarheter kan undvikas och existerande kan åtgärdas.

Microsofts meddelande är inte bara en varning för de miljarder människor som potentiellt är drabbade, utan även som en inbjudan till andra stora teknikföretag och apputvecklare att arbeta tillsammans för att uppnå bättre appsäkerhet i hela branschen. I Microsofts uttalande säger de att de inte bara ger vägledning till appanvändare och utvecklare, utan även har som mål ”att illustrera vikten av samarbete för att förbättra säkerheten för alla”.

Microsofts rapport ger även vägledning till Android-användare, och deras främsta tips är att säkerställa att man alltid har de senaste versionerna av sina appar installerade.

Den tar även upp praktiska exempel på problemet, med en fallstudie som har Xiaomi Inc.s File Manager som referens. Den förklarar hur en skadlig app skulle kunna bete sig i allvarliga scenarier: ”Förutom fullständig åtkomst till enhetens externa lagring, begär applikationen många behörigheter, inklusive möjligheten att installera andra appar.”

Med det sagt finns det inte, precis som Forbes bekräftar, inget användarna kan göra förutom att informera sig, hålla sina appar uppdaterade och följa Microsofts rekommendationer: ”Användare bör endast installera appar från pålitliga källor för att undvika potentiellt skadliga appar.”