Microsoft finner Android-feil som påvirker 4 mrd. nedlastinger

Microsoft advarer Android-brukere og -utviklere om et mønster med sårbarheter som er funnet i flere Android-apper i Google Play Store. Sårbarheten påvirker potensielt over 4 milliarder installeringer over hele verden, som kunngjort i en ny rapport.

Blant de berørte appene avslørte Microsoft to av de største: WPS Office med over 500 millioner installeringer og Xiaomi Inc. sin File Manager med over 1 milliard installeringer. De to selskapene ble informert i februar i år og har siden løst problemet.

Rapporten erkjenner at mange andre apper som står for mer enn 500 millioner installeringer kan være berørt, men ingen nevnes spesifikt.

Dette sikkerhetsbruddet kalles et «Dirty Stream»-angrep, og er identifisert i en innholdsleverandørkomponent som lar apper dele informasjon. Feilen i komponenten setter apper i fare fordi ondsinnede aktører kan ta kontroll over appen og få tilgang til brukertokens. Som forklart av Microsoft-eksperter i kunngjøringen 1. mai, kan konsekvensene variere og avhenger av hvordan applikasjonene implementerer komponenten.

Google avdekket denne sårbarheten i samarbeid med Microsoft, og delte en sikkerhetsrisikorapport på Android Studio-plattformen for utviklere som gir mer informasjon og råd om hvordan fremtidige sårbarheter kan unngås og nåværende sårbarheter kan løses.

Microsofts kunngjøring fungerer ikke bare som en advarsel til de milliarder av mennesker som kan potensielt bli berørt, men også som en invitasjon til andre store teknologiselskaper og app-utviklere til å samarbeide for å gi bedre app-sikkerhet over hele bransjen. Microsofts erklæring sier at den ikke bare gir veiledning til app-brukere og utviklere, men har også som mål «å illustrere viktigheten av samarbeid for å forbedre sikkerheten for alle.»

Microsofts rapport gir også veiledning for Android-brukere, hvor det viktigste forslaget er å forsikre seg om at de nyeste versjonene av apper er installert.

Den deler også praktiske eksempler på problemet ved hjelp av en casestudie som benytter Xiaomi Inc. sin File Manager som referanse. Den forklarer hvordan en ondsinnet app kan oppføre seg i alvorlige scenarier: «I tillegg til å ha full tilgang til enhetens eksterne lagring, ber applikasjonen om mange tillatelser, inkludert muligheten til å installere andre apper.»

Når alt dette er sagt, som Forbes også bekrefter, er det ingenting brukerne kan gjøre annet enn å holde seg informert, holde appene sine oppdaterte og følge Microsofts anbefalinger: «Brukere bør kun installere apper fra pålitelige kilder for å unngå potensielt ondsinnede apper.»