Popularna aplikacija sa više od milijardu korisnika ima opasne ranjivosti koje proizvođač ni posle 3 meseca nije otklonio

Mobilni telefoni, 17.02.2021, 09:30 AM

Popularna aplikacija sa više od milijardu korisnika ima opasne ranjivosti koje proizvođač ni posle 3 meseca nije otklonio

Android aplikacija koja je preuzeta više od milijardu puta ima greške koje proizvođač aplikacije nije uspeo da otkloni više od tri meseca, a koje se mogu iskoristiti za pokretanje zlonamernog koda na pametnim telefonima na kojima je instalirana aplikacija, upozorila je kompanija Trend Micro u izveštaju koji je objavljen početkom nedelje.

Reč je o Android verziji aplikacije SHAREit koja omogućava korisnicima da dele fajlove sa prijateljima ili da prebacuju fajlove sa uređaja na uređaj.

Zbog grešaka u SHAREit-u moglo bi doći do curenja osetljivih podataka korisnika, upozorili su istraživači.

Osnovni uzrok bezbednosnih propusta je nedostatak odgovarajućih ograničenja ko može da koristi kod aplikacije.

Trend Micro je objasnio da zlonamerne aplikacije instalirane na korisnikovom uređaju ili napadači koji izvrše takozvani “man-in-the-middle” (“čovek u sredini”) napad na mrežu mogu da šalju zlonamerne komande aplikaciji SHAREit i preuzmu njene legitimne funkcije da bi se pokrenuo zlonamerni kod, prepisali lokalni fajlovi aplikacije, ili instalirale druge aplikacije bez znanja korisnika.

Aplikacija je takođe podložna takozvanom “Man-in-the-Disk” (“čovek na disku”, MitD) napadu, koji je firma Check Point prvi put opisala 2018. godine i koji koristi nesigurno čuvanje osetljivih podataka aplikacije u prostoru za skladištenje telefona deljenom sa drugim aplikacijama, tako da ih napadači mogu izbrisati, izmeniti ili zameniti.

„Ove ranjivosti prijavili smo proizvođaču, koji još nije odgovorio“, rekao je Trend Micro. „Odlučili smo da obelodanimo svoje istraživanje tri meseca nakon što smo ovo prijavili, jer bi mnogo korisnika moglo biti pogođeno ovim napadom, gde napadač može ukrasti osetljive podatke”, rekli su istraživači napominjući da bi takav napad bilo teško otkriti.

Trend Micro je rekao da je svoja saznanja takođe podelio sa Googleom, ali nije otkrio kakav su odgovor dobili od kompanije koja je vlasnik Play prodavnice.

Na svom veb sajtu kompanija Smart Media4U Technology sa sedištem u Singapuru, koja je vlasnik SHAREit-a, tvrdi da njihove aplikacije koristi 1,8 milijardi korisnika u više od 200 zemalja širom sveta. Ranjivosti ne utiču na SHAREit iOS aplikaciju.

SHAREit je i ranije imao niz sigurnosnih nedostataka. U februaru 2019. u aplikaciji su otkrivene dve ranjivosti koje su mogle omogućiti napadačima da zaobiđu potvrdu identiteta i ukradu fajlove sa Android uređaja.

Potom je 29. juna prošle godine indijska vlada zabranila SHAREit zajedno sa još 58 kineskih aplikacija zbog zabrinutosti da su te aplikacije povezane sa aktivnostima koje ugrožavaju „nacionalnu bezbednost i odbranu Indije, što na kraju narušava suverenitet i integritet Indije“.

Foto: Trend Micro


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Zamislite da ste negde u gradu, telefon vam pokazuje pun signal, ali vi ste zapravo povezani na lažnu mrežu koja može da vas špijunira. Zvuči kao... Dalje

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje