Популярное Android-приложение, скачанное более миллиарда раз, содержит уязвимость, угрожающую безопасности мобильных устройств, пишет издание ZDNet. Сообщается, что разработчик уже более трех месяцев не может закрыть обнаруженную брешь. Речь идет о Android-версии программы SHAREit, которая позволяет пользователям обмениваться файлами с друзьями и другими устройствами.
Источник изображения: Getty Images
Уязвимости, выявленные в приложении, позволяют удаленно выполнять вредоносный код на мобильных устройствах с установленной программой. Об этом сообщили эксперты из компании Trend Micro, которые посвятили проблеме отдельный доклад, опубликованный в понедельник. Эксперты объясняют, что корни проблемы кроются в отсутствии необходимых ограничений на использование кода приложения. Благодаря этому злоумышленник может не только выполнить свой код, но и перезаписать файлы приложения, хранящиеся локально, а также установить сторонние программы без ведома владельца устройства.
В отчете также указывается, что приложение SHAREit уязвимо для так называемой атаки "Человек на диске", которую эксперты по безопасности из Check Point описали еще в 2018 году. Суть уязвимости заключается в незащищенном хранении конфиденциальных данных мобильного приложения во внешнем хранилище (SD-карта или USB-накопитель), где любое приложение имеет доступ к данным других приложений хранения, так что данные могут быть удалены или перезаписаны.
Эксперты Trend Micro пытались связаться с разработчиками приложения SHAREit, но они так и не вышли на связь. Попытки связаться с разработчиками программы продолжались в течение трех месяцев, но все запросы от экспертов оставались без ответа. Эксперты также поделились своими исследованиями с Google, но не стали вдаваться в подробности ответа владельца платформы Play Store.
Разработчики приложения SHAREit утверждают на своем официальном сайте, что их программным обеспечением воспользовались 1,8 миллиарда человек из 200 стран мира. Уязвимость приложения не распространяется на iOS-версию SHAREit, поскольку оно написано с использованием другой кодовой базы, говорят эксперты по цифровой безопасности.