Android-приложение с миллиардом установок и проблемами безопасности три месяца не получает обновление
Популярное Android-приложение, загруженное более миллиарда раз, содержит уязвимость, угрожающую безопасности мобильных устройств, пишет издание ZDNet. Сообщается, что разработчик уже более трех месяцев не может закрыть обнаруженную брешь. Речь идет об Android-версии программы SHAREit, которая позволяет пользователям обмениваться файлами с друзьями и другими устройствами.
Выявленные в приложении уязвимости позволяют удаленно выполнить вредоносный код на мобильных устройствах с установленной программой. Об этом сообщили специалисты из компании Trend Micro, посвятившие проблеме отдельный отчет, опубликованный в понедельник. Эксперты поясняют, что корни проблемы кроются в отсутствии необходимых ограничений на использование кода приложения. Благодаря этому злоумышленник сможет не только выполнить свой код, но и перезаписать файлы приложения, хранящиеся локально, а также установить сторонние программы без ведома владельца устройства.
В отчете также указывается, что приложение SHAREit уязвимо к так называемой атаке Man-in-the-Disk, которую эксперты по безопасности из Check Point описали еще в 2018 году. Суть уязвимости заключается в незащищенном хранении конфиденциальных данных мобильного приложения во внешнем хранилище (SD-карты или USB-накопителя), где любое приложение имеет доступ к данным других приложений хранилища, благодаря чему данные можно удалить или переписать.
Эксперты Trend Micro попытались связаться к разработчикам приложения SHAREit, но те так и не вышли на связь. Попытки связаться с разработчиками программы продолжались в течение трех месяцев, однако все обращения экспертов остались без ответа. Специалисты также поделились своими исследованиями с Google, но не стали вдаваться в детали ответа владельца платформы Play Маркет.
Разработчики приложения SHAREit на своем официальном веб-сайте заявляют, что их программным обеспечением пользовались 1,8 миллиарда человек из 200 стран мира. Уязвимость приложения не охватывает iOS-версию SHAREit, поскольку она написана с использованием другой кодовой базы, отмечают специалисты по цифровой безопасности.
