A Microsoft desenvolveu uma técnica de ataque, apelidada de ‘Dirty Stream’, que afeta aplicativos Android amplamente usados, bilhões de instalações estão em risco.

Tweet

A Microsoft está alertando os usuários do Android sobre uma nova técnica de ataque, chamada Dirty Stream, que pode permitir que agentes de ameaças assumam o controle de aplicativos e roubem dados confidenciais.

A gigante de TI descreve o Dirty Stream como um padrão de ataque, vinculado à travessia de caminho, que afeta vários aplicativos Android populares. A técnica permite que um aplicativo malicioso substitua arquivos no diretório inicial do aplicativo vulnerável, levando potencialmente à execução arbitrária de código e ao roubo de tokens.

Um invasor pode acionar a falha para conceder controle total sobre o aplicativo e acesso a contas de usuários e dados confidenciais.

Os pesquisadores identificaram vários aplicativos vulneráveis ​​na Google Play Store oficial, que contam com mais de quatro bilhões de dispositivos. 

“Identificamos esse padrão de vulnerabilidade nas versões atuais de vários aplicativos Android publicados na Google Play Store, incluindo pelo menos quatro com mais de 500 milhões de instalações cada. Em cada caso, divulgamos de forma responsável ao fornecedor. Dois exemplos de aplicativos vulneráveis ​​que identificamos são  o File Manager da Xiaomi Inc.  (mais de 1 bilhão de instalações) e  o WPS Office  (mais de 500 milhões de instalações). continua a assessoria.

A Microsoft notificou os desenvolvedores dos aplicativos afetados por meio da Divulgação Coordenada de Vulnerabilidade (CVD) por meio da Pesquisa de Vulnerabilidade de Segurança da Microsoft (MSVR).

A empresa trabalhou com as equipes de segurança da Xiaomi, Inc. e WPS Office para resolver o problema. As correções foram implantadas para os aplicativos afetados em fevereiro de 2024 e os usuários são incentivados a atualizar seus dispositivos e aplicativos instalados.

O problema reside no componente provedor de conteúdo, e sua classe ‘FileProvider’, do sistema de compartilhamento de dados e arquivos do Android.

“ FileProvider , uma subclasse de  ContentProvider , tem como objetivo fornecer um método seguro para um aplicativo (“aplicativo de servidor”) compartilhar  arquivos com outro aplicativo  (“aplicativo cliente”).” relatou o Google. “No entanto, se o aplicativo cliente não lidar adequadamente com o nome de arquivo fornecido pelo aplicativo servidor, um aplicativo servidor controlado pelo invasor poderá implementar seu próprio FileProvider malicioso para substituir arquivos no armazenamento específico do aplicativo cliente.”

O componente facilita o compartilhamento de arquivos entre aplicativos instalados, porém a implementação incorreta desse mecanismo pode representar vulnerabilidades significativas.

“As implicações desse padrão de vulnerabilidade incluem execução arbitrária de código e roubo de tokens, dependendo da implementação de um aplicativo. A execução arbitrária de código pode fornecer ao agente da ameaça controle total sobre o comportamento de um aplicativo. Enquanto isso, o roubo de tokens pode fornecer ao agente da ameaça acesso às contas e aos dados confidenciais do usuário.” lê o comunicado publicado pela Microsoft.

O problema surge quando o aplicativo receptor não consegue verificar o conteúdo do arquivo que recebe e depende do nome do arquivo fornecido pelo aplicativo remetente. O aplicativo receptor armazena o arquivo em cache em seu diretório de dados interno, abrindo a porta para exploração potencial se o aplicativo remetente usar uma versão maliciosa do FileProvider. Nesse cenário, um aplicativo malicioso pode explorar o Dirty Stream para substituir arquivos importantes no aplicativo receptor.

“Para evitar esses problemas, ao lidar com fluxos de arquivos enviados por outros aplicativos, a solução mais segura é ignorar completamente o nome retornado pelo provedor de arquivos remoto ao armazenar em cache o conteúdo recebido. Algumas das abordagens mais robustas que encontramos usam nomes gerados aleatoriamente, portanto, mesmo no caso de o conteúdo de um fluxo de entrada estar malformado, ele não interferirá no aplicativo.” conclui a Microsoft.

Fonte: securityaffairs.com