Errores de seguridad que no se corrigen en la aplicación de Android con mil millones de descargas


Mano de la mujer escribiendo en el teléfono inteligente móvil, chat en vivo en la aplicación Comunicación Web digital y concepto de red social.

Getty Images / iStockphoto

Una aplicación de Android descargada más de mil millones de veces contiene vulnerabilidades sin parche que el fabricante de la aplicación no ha podido solucionar durante más de tres meses.

característica particular

Asegurar su empresa móvil

Afianzar su empresa móvil

Los dispositivos móviles continúan su marcha para convertirse en potentes máquinas de productividad. Pero igualmente son importantes riesgos de seguridad si no se gestionan adecuadamente. Analizamos los conocimientos más recientes y las mejores prácticas para proteger la fuerza sindical móvil.

Interpretar más

Las vulnerabilidades afectan la traducción de Android de SHAREit, una aplicación móvil que permite a los usuarios compartir archivos con amigos o entre dispositivos personales.

Los errores pueden explotarse para ejecutar código pillo en los teléfonos inteligentes donde está instalada la aplicación SHAREit, dijo Echo Duan, analista de amenazas móviles de la firma de seguridad Trend Micro, en un referencia el lunes.

La causa principal de las fallas de seguridad es la yerro de restricciones adecuadas sobre quién puede consentir al código de la aplicación.

Duan dijo que las aplicaciones maliciosas instaladas en el dispositivo de un becario, o los atacantes que realizan un ataque de red de persona en el medio, pueden expedir comandos maliciosos a la aplicación SHAREit y secuestrar sus funciones legítimas para ejecutar código personalizado, sobrescribir los archivos locales de la aplicación. o instalar aplicaciones de terceros sin el conocimiento del becario.

Encima, la aplicación igualmente es frágil a los llamados ataques Man-in-the-Disk, un tipo de vulnerabilidad descrita por primera vez por Check Point en 2018 que viaje en torno al almacenamiento inseguro de medios sensibles de la aplicación en una ubicación del espacio de almacenamiento compartido del teléfono. con otras aplicaciones, donde los atacantes pueden eliminarlas, editarlas o reemplazarlas.

El fabricante de la aplicación no respondió durante tres meses

«Informamos sobre estas vulnerabilidades al proveedor, que aún no ha respondido», dijo Duan hoy.

«Decidimos revelar nuestra investigación tres meses posteriormente de informar esto, ya que muchos usuarios podrían encontrarse afectados por este ataque porque el atacante puede robar datos confidenciales», agregó, al tiempo que señaló que cualquier ataque igualmente sería difícil de detectar desde la perspectiva de un defensor.

Contactado por correo electrónico, un portavoz de SHAREit no respondió una solicitud de comentarios antiguamente de la publicación de este artículo.

Duan dijo que igualmente compartió sus hallazgos con Google, pero no dio más detalles sobre la respuesta del propietario de Play Store.

En su sitio web, los desarrolladores de SHAREit afirman que sus aplicaciones son utilizadas por 1.800 millones de usuarios en más de 200 países en todo el mundo. Las vulnerabilidades no afectan la aplicación SHAREit para iOS, que se ejecuta en una saco de código diferente.

Deja un comentario